информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Вот так в итоге должно выглядеть??? 12.05.03 14:32  Число просмотров: 1010
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
#1 Otsekaem lokalnyi traffik
ipfw add allow ip from 192.168.2.0/24 to 192.168.2.0/24
#2 divert dlya <ip>
ipfw add divert natd all from 195.xxx.xx.xxx(адрес внешней сетевухи Фрюхи) to any via xl1
#3 statistika po <ip>
ipfw add pass ip from any to 192.168.2.1
ipfw add pass ip from any to 192.168.2.2
ipfw add pass ip from any to 192.168.2.3
ipfw add pass ip from any to 192.168.2.4
ipfw add pass ip from any to 192.168.2.5
..............
..............
ipfw add pass ip from any to 192.168.2.87
ipfw add pass ip from any to 192.168.2.88
ipfw add pass ip from any to 192.168.2.89
ipfw add pass ip from any to 192.168.2.90
#4 eto pravilo posle vseh - obratnyi divert
ipfw add divert natd all from any to (Здесь какой IP ставить?!) in via xl1
ipfw add allow all from any to any
<sysadmin>
Глупый вопрос логи count в ipfw FreeBSD 4.7 29.04.03 16:42  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
вот мои настройки

add divert natd all from any to any via xl1
add count ip from any to 192.168.2.1/24 in
add allow log logamount 0 tcp from any to any via xl1
add allow all from any to any

вот настройки файла syslog.conf
*.err;kern.debug;auth.notice;mail.crit /dev/console
*.notice;kern.debug;lpr.info;mail.crit;news.err /var/log/messages
security.* /var/log/natlg/security
auth.info;authpriv.info /var/log/auth.log
mail.info /var/log/maillog
lpr.info /var/log/lpd-errs
cron.* /var/log/cron

вопрос: как надо ПРАВИЛЬНО и просто настроить чтобы было удобно считать траффик входящий и можно было по том(как?) получить инфу траффик=IP
я так понимаю интересует траффик по маскараду 29.04.03 17:05  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 29.04.03 17:14  Количество правок: 2
<"чистая" ссылка>
нужно построить правила приблизительно таким образом
#1 отсекаем локальный траффик
ipfw add allow ip from <localnet>/24 to <localnet>/24
#2 диверт для <ip>
ipfw add divert natd all from <ip> to any via xl1
#3 статистика по <ip>
ipfw add pass ip from any to <ip>
#4это правило после всех - обратный диверт
ipfw add divert natd all from any to me in via fxp1
ipfw add allow all from any to any
все - вроде нигде не ошибся
никаких count не нужно - статистика по компу с адресом <ip> будет в правиле 3 (пару правил 2-3 нужно создать для каждого интересующего ip)
localnet это 10.0.0.0 или какие ты внутренние адреса используешь

> add divert natd all from any to any via xl1
> add count ip from any to 192.168.2.1/24 in
> add allow log logamount 0 tcp from any to any via xl1
> add allow all from any to any
Что-то не догнал 29.04.03 17:23  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
> нужно построить правила приблизительно таким образом
> #1 отсекаем локальный траффик
> ipfw add allow ip from <localnet>/24 to
> <localnet>/24

это еще зачем?? у меня локалка 10 компов смотрят в инет через этот НАТ
мне надо смотреть только Входящий инет-трафик локальный через внешнюю сетевуху все равно никак не ходит

> #2 диверт для <ip>
> ipfw add divert natd all from <ip> to any via xl1

какой ip имеется ввиду?

> #3 статистика по <ip>
> ipfw add pass ip from any to <ip>

а если у меня будет 60 компов мне эту строку 60 раз писать?!??!

> #4это правило после всех - обратный диверт
> ipfw add divert natd all from any to me in via fxp1
> ipfw add allow all from any to any
> все - вроде нигде не ошибся
> никаких count не нужно - статистика по компу с адресом
> <ip> будет в правиле 3 (пару правил 2-3 нужно создать
> для каждого интересующего ip)

опять же есть 60-100 машин я офигею это писать... проще никак? зачем воротить такие огороды?

почему через count нельзя?

> localnet это 10.0.0.0 или какие ты внутренние адреса
> используешь

192.168.2.*

> > add divert natd all from any to any via xl1
> > add count ip from any to 192.168.2.1/24 in
> > add allow log logamount 0 tcp from any to any via xl1
> > add allow all from any to any
Что-то не догнал 29.04.03 18:47  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
> > нужно построить правила приблизительно таким образом
> > #1 отсекаем локальный траффик
> > ipfw add allow ip from <localnet>/24 to
> > <localnet>/24
>
> это еще зачем?? у меня локалка 10 компов смотрят в инет
> через этот НАТ
> мне надо смотреть только Входящий инет-трафик локальный
> через внешнюю сетевуху все равно никак не ходит
отсекаем я имел - не отрезаем, а чтобы пакеты с локальными данными не проходили дальше по цепочке. если этого не сделать то локальный траффик будет заворачиваться в диверт (в правиле 2)

> > #2 диверт для <ip>
> > ipfw add divert natd all from <ip> to any via
> xl1
>
> какой ip имеется ввиду?
ip того хоста по которому нужно снимать статистику

> > #3 статистика по <ip>
> > ipfw add pass ip from any to <ip>
> а если у меня будет 60 компов мне эту строку 60 раз
> писать?!??!
неужели тяжело один раз написать?

> > #4это правило после всех - обратный диверт
> > ipfw add divert natd all from any to me in via fxp1
> > ipfw add allow all from any to any
> > все - вроде нигде не ошибся
> > никаких count не нужно - статистика по компу с адресом
> > <ip> будет в правиле 3 (пару правил 2-3 нужно
> создать
> > для каждого интересующего ip)
>
> опять же есть 60-100 машин я офигею это писать... проще
> никак? зачем воротить такие огороды?
>
> почему через count нельзя?
потому что через count тебе придется логи из сислога выковыривать (а если будешь count по каждому хосту делать все равно писать столько же)
а так делаешь
ipfw sh | grep 'allow ip from to'
и получаешь статистику по каждому компу
это простейший и в тоже время надежный метод подсчета
Вот так в итоге должно выглядеть??? 12.05.03 14:32  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
#1 Otsekaem lokalnyi traffik
ipfw add allow ip from 192.168.2.0/24 to 192.168.2.0/24
#2 divert dlya <ip>
ipfw add divert natd all from 195.xxx.xx.xxx(адрес внешней сетевухи Фрюхи) to any via xl1
#3 statistika po <ip>
ipfw add pass ip from any to 192.168.2.1
ipfw add pass ip from any to 192.168.2.2
ipfw add pass ip from any to 192.168.2.3
ipfw add pass ip from any to 192.168.2.4
ipfw add pass ip from any to 192.168.2.5
..............
..............
ipfw add pass ip from any to 192.168.2.87
ipfw add pass ip from any to 192.168.2.88
ipfw add pass ip from any to 192.168.2.89
ipfw add pass ip from any to 192.168.2.90
#4 eto pravilo posle vseh - obratnyi divert
ipfw add divert natd all from any to (Здесь какой IP ставить?!) in via xl1
ipfw add allow all from any to any
Вот так 12.05.03 14:43  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 12.05.03 14:57  Количество правок: 6
<"чистая" ссылка>
> #1 Otsekaem lokalnyi traffik
> ipfw add allow ip from 192.168.2.0/24 to 192.168.2.0/24
> #2 divert dlya <ip>
> ipfw add divert natd all from 195.xxx.xx.xxx(адрес внешней сетевухи Фрюхи) to any via xl1
убираем это ^^^ правило

> #3 statistika po <ip>
добавляем (для каждого правила)
ipfw divert natd ip from 192.168.2.1 to any out xmit xl1
> ipfw add pass ip from any to 192.168.2.1
а это меняем на
ipfw pass ip from 192.168.2.1 to any
и так далее со всем остальными IP
> ipfw add pass ip from any to 192.168.2.2
> ipfw add pass ip from any to 192.168.2.3
> ipfw add pass ip from any to 192.168.2.4
> ipfw add pass ip from any to 192.168.2.5
> ..............
> ..............
> ipfw add pass ip from any to 192.168.2.87
> ipfw add pass ip from any to 192.168.2.88
> ipfw add pass ip from any to 192.168.2.89
> ipfw add pass ip from any to 192.168.2.90
> #4 eto pravilo posle vseh - obratnyi divert
ipfw divert natd ip from any to me in recv xl1
Финалоьный вариант. ну что ребут? :)) 12.05.03 15:00  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
#1 Otsekaem lokalnyi traffik
ipfw add allow ip from 192.168.2.0/24 to 192.168.2.0/24
#2 divert dlya <ip>
#3 statistika po <ip>
ipfw divert natd ip from 192.168.2.1 to any out xmit xl1
ipfw pass ip from any to 192.168.2.1
ipfw divert natd ip from 192.168.2.2 to any out xmit xl1
ipfw pass ip from any to 192.168.2.2
ipfw divert natd ip from 192.168.2.3 to any out xmit xl1
ipfw pass ip from any to 192.168.2.3
ipfw divert natd ip from 192.168.2.4 to any out xmit xl1
ipfw pass ip from any to 192.168.2.4
ipfw divert natd ip from 192.168.2.5 to any out xmit xl1
ipfw pass ip from any to 192.168.2.5
ipfw divert natd ip from 192.168.2.6 to any out xmit xl1
ipfw pass ip from any to 192.168.2.6
..............
..............
#4 eto pravilo posle vseh - obratnyi divert
ipfw divert natd ip from any to me in recv xl1
не работает :( пишет ipfw bad arguments что неправильно? 12.05.03 16:57  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
ipfw нужно запускать из скрипта 12.05.03 17:21  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
т.е. создаешь файл
/usr/local/etc/rc.d/firewall.sh
в нем
#!/bin/sh
ipfw...

затем chmod +x /usr/local/etc/rc.d/firewall.sh
пасиба - попробую! 29.04.03 19:00  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach