Logowanie po

[Jarod]

Witajcie,
mam postawionego squida i loguje wszystkie połączenia użytkowników na porcie 80 - za pomocą regułki:

Kod: Zaznacz cały

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128

Dodatkowo chciałbym logować wybrane adresy albo całą podsieć za pomocą ulogd (logi w mysql).


Niestety regułka:

Kod: Zaznacz cały

iptables -I FORWARD -s 192.168.1.0/24 -o eth0 -m state --state NEW -j ULOG

loguje nie wszystkie połączenia - na pewno bez połączeń na porcie 80.

Dodałem jeszcze jedną regułkę:

Kod: Zaznacz cały

iptables -t nat -I PREROUTING -i eth1 -s 192.168.1.0/24 -p tcp --dport 80 -j ULOG

i wygląda na to, że jest ok - całość wyjdzie w praniu.

Proszę o opinie czy te dwie regułki będą na pewno logowały wszystkie nowo nawiązane połączenia wychodzące z sieci wewnętrznej w świat.

eth0 - świat
eth1 - lan

Dziękuje

[Bastian]

Problemem jest zapewne

Kod: Zaznacz cały

-m state --state NEW

bo loguje Tobie tylko nowo nawiązane połączenia.

[Jarod]

Inaczej przyrost logów jest zbyt duży - w ciągu 5 minut ok 15000 rekordów.

Zastanawiam się co jeszcze można zrobić aby takie logi były uznawane przez sąd - mam na myśli sytuację, kiedy pracownik łamie regulamin, mamy logi, pracownik idzie do sądu i mówi np że logi został zmanipulowane.
Zastanawiam się czy jest szansa się przed tym bronić.

[Bastian]

Z doświadczenia zawodowego wiem, że takie logi są wykorzystywane. Nie wiem jaką to ma wartość dowodową, ale prokuratura zawsze się takimi logami posiłkuje. Natomiast podejrzewam, że dużą rolę odgrywa tutaj autorytet podmiotu przekazującego takie logi. Pracując w dużej znanej firmie hostingowej, takie logi były bardziej wiarygodne niż logi strony w postępownaniu. Wracając do tematu duzej ilości logów..Można tak rozpisać regułki iptables, żeby wyłapywać tylko to co chcesz. Możesz też napisać skrypt, który z takiego całościowego loga wyciągnie to co chcesz po czym usuniesz zawartość tego grzmota.