Analyser les connexions sortantes

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Analyser les connexions sortantes

Messagepar elcasa » 07 Nov 2004 01:24

Bonjour

Aprés avoir installé Ipcop 1.4 et squidguard avec l'Adons de Frank78, je cherche un moyen d'avoir un journal des connexions sortantes, afin de pouvoir controler (le mot n'est pas exacte mais rend la question plus précise). qui a fait quoi.

Un journal assez precis pouvant m'indiquer qui, quand, le temps de connexion .

Cela donnerait adresse ip sortante, vers site www.machin ou son ip, date jour heure debut heure fin....

J'ai vu une fois sur le forum qu'il y avait un soft que l'on pouvait ajouter à ipcop pour obtenir ce genre de journaux, mais je n'arrive plus à mettre la main dessu...

Merci de m'aider.
elcasa
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 21 Oct 2004 06:40

Messagepar tomtom » 07 Nov 2004 03:32

Hum, ca s'appelle les logs de squid ;)

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar elarifr » 08 Nov 2004 17:09

tu as des infos dans le fichiers proxy (journal mandataire)

et j'avais ecrit un addon pour filtrer ce journal en fonction des destination connus/inconnus ce qui permet de voir plus facilement qui va sur des sites inconnus

cf le post en question
viewtopic.php?t=19708&highlight=


et screenshot

http://elari.free.fr/ipcop/hoststrusted/proxylog.jpg
http://elari.free.fr/ipcop/hoststrusted ... rusted.jpg


j'utilise sur 1.4b7
IPCop 1.5 - P166 - 64Mo 2Go
Routeur Zyxell ADSL (Free Dégroupé) en Serveur DHCP -> { IPcop Red + Mac } ->
IpCop (Serveur DHCP) -> Orange + Green.
Serveur DEBIAN Sarge en DMZ
elarifr
Major
Major
 
Messages: 76
Inscrit le: 16 Fév 2004 01:00
Localisation: strasbourg alsace

Petit probleme...

Messagepar elcasa » 09 Nov 2004 15:39

Bonjour

Merci pour la Manip
création des fichiers et droits faciles avec Winscp3 (à chaque fichier j'ai mis 777)

Copier collé de tes données

Ne pas oublier de faire fonctionner Ipcop en Proxy Mandataire......
Sans cela le menu Journaux du serveur mandataire n'apparait pas.

Par contre il me reste un souci, quand je veux consulter ce journal j'ai le résultat suivant:


Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator, root@localhost and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.

Donc je suppose que j'ai du oblier quelque chose, mais je ne sais pas ou

Merci de m'aider...
elcasa
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 21 Oct 2004 06:40

Messagepar elarifr » 10 Nov 2004 14:31

j'ai egalement eu la même chose une fois :(
si je me rappelle c'etait du à un fichier que je n'avais pas créée

comme ca fais un bout de temps que je n'y ai pas touché je ne sais plus exactement ce qu'il avais lieu de faire, mais tu devrais avoir dans les journaux systeme le nom du fichier qu'il ne trouve pas

je vais essayer de revoir mes log si j'ai gardé une trace
IPCop 1.5 - P166 - 64Mo 2Go
Routeur Zyxell ADSL (Free Dégroupé) en Serveur DHCP -> { IPcop Red + Mac } ->
IpCop (Serveur DHCP) -> Orange + Green.
Serveur DEBIAN Sarge en DMZ
elarifr
Major
Major
 
Messages: 76
Inscrit le: 16 Fév 2004 01:00
Localisation: strasbourg alsace

Désolé je ne trouve pas

Messagepar elcasa » 10 Nov 2004 19:47

Je ne suis pas vraiment bon sur ce coup..
Mes journaux systeme dans l'interface d'ipcop ne me donnent pas de renseignement quant au fichier manquant ......

Je suis à ton écoute :(
elcasa
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 21 Oct 2004 06:40

Analyser les connexions sortantes

Messagepar man_mickey2001 » 11 Nov 2004 17:41

J'ai recherché avec squid mais j'ai trouvé un autre outil, c'est sarg qui génère des pages html.
J'ai déjà posé une réponse sur sarg ds le forum :Ipcop + Sarg

viewtopic.php?t=11473

Si t'as besoin d'info , envoie une réponse, bye
Faites vivre le libre, combattez Bilou...
man_mickey2001
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 155
Inscrit le: 29 Juil 2004 18:46
Localisation: LE PAYS BASQUE BIEN SUR

Merci Mikey

Messagepar elcasa » 14 Nov 2004 00:46

Merci Mickey,

Je vais attendre quand meme une réponse de Elarifr car j'ai commencé avec sa manip.

Si je ne vois rien venir j'essayerai la tienne.

je suis allé la consulter, pour tout te dire les explications me parraissent un peu confuses et j'aurai à te demander des précisions pour tester ton outil...
elcasa
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 21 Oct 2004 06:40

Analyser les connexions sortantes

Messagepar man_mickey2001 » 14 Nov 2004 02:01

Tout à fait prêt à t'aider Elcasa, désolépour mon explication confuse mais j'ai rédigé cette doc au fue et à mesure que j'installais
bya
Faites vivre le libre, combattez Bilou...
man_mickey2001
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 155
Inscrit le: 29 Juil 2004 18:46
Localisation: LE PAYS BASQUE BIEN SUR

Messagepar micjack » 14 Nov 2004 02:14

Pourquoi ne pas mettre le filtrage et donc les log sur une autres machine active du reseau ??

Enfin, je dis ca mais c'est ce que je fais pour ne pas alourdir le firewall....
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

oui mais comment

Messagepar elcasa » 14 Nov 2004 14:23

MicJack

Je suis pret à essayer si tu me donne une méthode pour yarriver.....

Merci d'avance
elcasa
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 21 Oct 2004 06:40

Messagepar micjack » 14 Nov 2004 14:47

Oui mais attention, cela tourne sous Windows chez moi (Enfin tournait, je refait actellement mon reseau)

Un proxy (janaserver) entre le Firewall et le reseau local, log accessible par interface Web du style 192.168.1.1:port
Log en temp réel, user, IP, heures, date, login, logout... Des log quoi.

Regarde aussi du coté iptables INPUT OUTPUT LOG et certaines options qui vont bien...Cela t'affiche les connexions directement sur la console par:

tail -f /var/log/messages et (ctrl + C pour arreter) ou sans taper tail tu peux consulter le log dans /var/log/messages
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar micjack » 14 Nov 2004 21:41

Bon, voila à quoi ressemble les log du Proxy, à savoir que c'est mon poste principal ( 192.168.1.2 ) sur le reseau local ...

J'ai volontairement mis deux cartes reseau sur le Proxy, l'une 192.168.1.2 est reliée directement sur le firewall Linux ( 192.168.1.1 ) et l'autre 192.168.0.2 sur le reseau filtré..

Il est bien evident qu'il peut y avoir un hub sur chaque reseau et ainsi connecter un certain nombre de machines.. L'un pouvant etre en toutes libertée sur le Firwall et l'autre par restrictions proxy...

Image

Ci dessus, le fichier log du proxy en fichier texte... Le poste 192.168.0.5 est connecté sur la page d'offre de Club-Internet ainsi que moi meme sur le Ftp de Matrox ayant telechargé un bios Setup351.zip puis 3 minutes plus tard le 192.168.0.5 fait un petit tour sur Ixus :lol:

***

Image

Log en temp réel par la page Web 192.168.1.2:2506

***

Image

Puis aussi un log user simpas
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Ipcop Pas Jana

Messagepar elcasa » 15 Nov 2004 07:25

Merci Mickak

Je connais bien Jana c'est vrai qu'il est pratique, seulement je ne le trouve pas fiable dans sa securité, c'est pour ce la que je passe à IPCOP.

C'est sur IPCOP que j'aimerai avoir l'analyse des conections sortantes


Merci
elcasa
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 21 Oct 2004 06:40

Ipcop Pas Jana

Messagepar elcasa » 15 Nov 2004 07:27

Merci Micjack

Je connais bien Jana c'est vrai qu'il est pratique, seulement je ne le trouve pas fiable dans sa securité, c'est pour ce la que je passe à IPCOP.

C'est sur IPCOP que j'aimerai avoir l'analyse des conections sortantes


Merci
elcasa
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 21 Oct 2004 06:40

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron