[Linuxtrent] R: Re: R: Cerco programmino
- From: "Gelpi Andrea - Liste" <liste@xxxxxxxx>
- To: <linuxtrent@xxxxxxxxxxxxx>
- Date: Wed, 17 Apr 2002 19:17:40 +0200
C'e tutto gia fatto.
Iptables e ipchains permettono di loggare in /var/log/messages cio che passa
attraverso il firewall e non e difficile loggare solo il primo pacchetto di
ogni sessione (con iptables di sicuro, con ipchains non so).
Esistono poi degli script che prendono queste righe dal log e te le mettono
in file separati o in DB tipo mysql, e con un altro script in php puoi avere
delle pagine html con l'output. Il tutto si trova sul sito di snort o meglio
ancora nella directory contrib dopo aver scompattato il .tgz.
Ho provato questa modalita, purtroppo gli script non sono aggiornati
all'ultima versione di iptables e ho dovuto riscriverli, ora ho una copia in
prova, quando sara collaudata ve la sottopporro per un controllo piu serio.
Per chi usa iptables esiste anche un altro sistema.
Se si usa il taget ULOG (userlog) esiste sul sito di netfilter un demone in
grado di leggere il pacchetto passatogli dal kernel e via plugin lo si puo
mettere sia in un DB che in semplice file.
Purtroppo il kernel fornito da RedHat manca del modulo netfilter per far
funzionare la cosa. Sto cercando la soluzione.
Il vantaggio di questa soluzione e che non si va ascrivere in
/var/log/messages ma in un file ad hoc e si puo contemporaneamente scrivere
anche in un db. Dal DB poi fare pagine html via php non e difficile. Basta
adattare quelle del caso precedente.
--
Gelpi ing. Andrea
--------------------------------------------------------------
It took the computing power of three C-64s to fly to the Moon.
It takes a 486 to run Windows 95. Something is wrong here.
--------------------------------------------------------------
> Un'idea sarebbe quella di usare il codice di firewalling esistente nel
> kernel, aggiungendo delle regole per loggare via syslog le
> informazioni salienti dei pacchetti TCP indirizzati a noi e che hanno
> il flag SYN (tentativo di connessione), e i pacchetti ICMP di tipo 8
> (quelli usati per il ping) e magari anche anche 0 (le risposte dei
> ping).
>
> Non ho ben capito se si puo` modificare /etc/syslog.conf in modo che
> il log del firewall (e solo del firewall) finisca da qualche altra
> parte, ma mi pare di si (non ho mai guardato bene).
>
> Ora: una GUI del genere dovrebbe
>
> 1) Metter mano alle regole del firewall per aggiungerci le sue, e gia`
> qui cambia un poco a seconda che uno usi ipchains (kernel 2.2.x e
> 2.4.x) o iptables (kernel 2.4.x).
>
> 2) Metter mano a /etc/syslog.conf per avere il log in un file a parte
> (al limite si puo` anche andar di grep sul solito
> /var/log/messages)
>
> 3) Presentare il log.
>
> Farsi a mano i punti 1 e 2 IMHO ha alto valore educativo, e il punto 3
> e` talmente scemo che tanto vale fare
>
> tail -n -1 -f /var/log/firewall | while read i; do echo -e
> "\007"; echo "$i"; done
>
> in un xterm... con un beep per ogni nuova riga che viene scritta nel log.
>
> Se poi c'e` una GUI che fa questo... fatemi sapere.
> --
> | \ \ | ___|_ |_ | ianezz AT sodalia.it
> | _ \ | \ | _| / / Visita il LinuxTrent a
> _|_/ _\_| _|____|___|___| http://www.linuxtrent.it
> --
> Per iscriversi (o disiscriversi), basta spedire un messaggio
> con SOGGETTO
> "subscribe" (o "unsubscribe") a
mailto:linuxtrent-request@xxxxxxxxxxxxxxxxx
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con SOGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxxxxxx
Other related posts:
