AbcLinuxu:/ Poradna / Linuxová poradna / logování přístupu uživatelů z vnitřní sítě na web

Štítky: AbcLinuxu, Apache, bezpečnost, firewally, HTML, Internet, iptables, logování, NAT, proxy, sítě, web

Dotaz: logování přístupu uživatelů z vnitřní sítě na web

12.11.2007 22:12 Hugo
logování přístupu uživatelů z vnitřní sítě na web

Přečteno: 1994×

Odpovědět | Admin

Ahoj,

hledám nástroj, který by mi umožnil monitoring přístupů uživatelů na webové servery - porty 80 i 443. Většina vnitřních IP se překládá na jednu veřejnou. Jde mi o to, abych mohl zpětně dohledávat, kdo kdy a kam "šel". Ideálně, aby každá vnitřní IP měla svůj samostatný log, který by zaznamenával všechny přístupy v podobě jakou má log apache - tedy čas a link.

Děkuji za případné rady

Nástroje: Začni sledovat (0) ?

Odpovědi

12.11.2007 22:15 cronin | skóre: 49
Rozbalit Rozbalit vše Re: logování přístupu uživatelů z vnitřní sítě na web

Zakázať firewallom priamy prístup na porty 80 a 443 smerom von a všetok trafic pustiť cez proxy server.

13.11.2007 03:58 the.max | skóre: 46 | blog: Smetiště
Rozbalit Rozbalit vše Re: logování přístupu uživatelů z vnitřní sítě na web

resim to stejne.. jen jsem nastavil Squida jako transparentni proxy, tazke na routeru vsechny pozadavky na 80 presmerovavam na 8080.

KERNEL ULTRAS Fan Team || Sabaton - nejlepší učitel dějepisu || Gentoo - dokud nás systemd nerozdělí.

13.11.2007 06:55 petr
Rozbalit Rozbalit vše Re: logování přístupu uživatelů z vnitřní sítě na web

No stačí když budou všichni přistupovat přes Squida, no a pak stačí koukat do /var/log/squid/access.log. A je tam jak IP ze kterého se přistupovalo (tedy stanice uvnitř Vaší sítě), tak adersa na kterou se lezlo.. viz výpis níže. Případně to můžeš grepovat. TCP_MISS/200 8619 GET http://ad2.bbmedia.cz/logos/b47620_4.swf? - DIRECT/62.168.44.120 application/x-shockwave-flash 1194932947.788 185 192.168.0.65 TCP_MISS/200 12279 GET http://www.abclinuxu.cz/forum/EditDiscussion/199909? - DIRECT/195.70.150.7 text/html 1194932947.982 1 192.168.0.65 TCP_IMS_HIT/304 263 GET http://spir.hit.gemius.pl/gemiusaudience.html - NONE/- text/html 1194932948.043 57 192.168.0.65 TCP_MISS/200 1837 GET http://sf.impact.as/if/imshow.php? - DIRECT/62.209.193.162 text/html 1194932948.112 53 192.168.0.65 TCP_MISS/200 355 GET http://spir.hit.gemius.pl/_1194932951837/reppdot.js? - DIRECT/195.47.116.3 application/x-javascript 1194932948.176 47 192.168.0.65 TCP_MISS/200 1118 GET http://sf.impact.as/if/imshow.php? - DIRECT/62.209.193.162 application/x-javascript 1194932948.236 45 192.168.0.65 TCP_MISS/200 383 GET http://gdecz.hit.gemius.pl/_1194932951962/redot.gif? - DIRECT/217.11.237.209 image/gif 1194932948.300 87 192.168.0.65 TCP_MISS/200 1734 GET http://adarbo2.bbmedia.cz/please/showit/0/0/0/1/? - DIRECT/62.168.11.130 application/x-javascript 1194932948.520 129 192.168.0.65 TCP_MISS/200 4228 GET http://sfad1.impact.as/338_20.gif - DIRECT/62.209.193.162 image/gif 1194932948.762 3 192.168.0.65 TCP_DENIED/403 1269 NONE error:request-too-large - NONE/- text/html

13.11.2007 07:19 cronin | skóre: 49
Rozbalit Rozbalit vše Re: logování přístupu uživatelů z vnitřní sítě na web

                                                                                           
TCP_MISS/200 8619 GET http://ad2.bbmedia.cz/logos/b47620_4.swf? - DIRECT/62.168.44.120 application/x-shockwave-flash
1194932947.788    185 192.168.0.65 TCP_MISS/200 12279 GET http://www.abclinuxu.cz/forum/EditDiscussion/199909? - DIRECT/195.70.150.7 text/html
1194932947.982      1 192.168.0.65 TCP_IMS_HIT/304 263 GET http://spir.hit.gemius.pl/gemiusaudience.html - NONE/- text/html
1194932948.043     57 192.168.0.65 TCP_MISS/200 1837 GET http://sf.impact.as/if/imshow.php? - DIRECT/62.209.193.162 text/html
1194932948.112     53 192.168.0.65 TCP_MISS/200 355 GET http://spir.hit.gemius.pl/_1194932951837/reppdot.js? - DIRECT/195.47.116.3 application/x-javascript
1194932948.176     47 192.168.0.65 TCP_MISS/200 1118 GET http://sf.impact.as/if/imshow.php? - DIRECT/62.209.193.162 application/x-javascript
1194932948.236     45 192.168.0.65 TCP_MISS/200 383 GET http://gdecz.hit.gemius.pl/_1194932951962/redot.gif? - DIRECT/217.11.237.209 image/gif
1194932948.300     87 192.168.0.65 TCP_MISS/200 1734 GET http://adarbo2.bbmedia.cz/please/showit/0/0/0/1/? - DIRECT/62.168.11.130 application/x-javascript
1194932948.520    129 192.168.0.65 TCP_MISS/200 4228 GET http://sfad1.impact.as/338_20.gif - DIRECT/62.209.193.162 image/gif
1194932948.762      3 192.168.0.65 TCP_DENIED/403 1269 NONE error:request-too-large - NONE/- text/html

13.11.2007 09:53 Hugo
Rozbalit Rozbalit vše Re: logování přístupu uživatelů z vnitřní sítě na web

Díky všem za rady!

13.11.2007 11:07 B0biN | skóre: 21 | blog: B0biN bloguje
Rozbalit Rozbalit vše Re: logování přístupu uživatelů z vnitřní sítě na web

Tady je ta transparentni proxy cache

#vnejsi eth rozhrani (WAN)
INET_IFACE="eth0"
#IP vnejsiho rozhrani
INET_IP="x.x.x.x"

#cesta k iptables
IPTABLES="/sbin/iptables"

$IPTABLES -t nat -A PREROUTING -p tcp -i ! $INET_IFACE -d ! $INET_IP --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A PREROUTING -p tcp -i ! $INET_IFACE -d ! $INET_IP --dport 443 -j REDIRECT --to-port 3128

cd /pub | more beer

Založit nové vlákno • Nahoru

Tiskni Sdílej: