A propos des Journaux dans IPCOP

par **kornfr** » 30 Août 2005 15:08

Bonjour

parmis les divers journaux proposaient par ipcop, il y a un jounal nommé ainsi : "Journaux du serveur mandataire"

Pouvez vous me dire a quoi respond les entres dans ce journal ?

de meme pour les journaux Parfeu ?

Merci

kornfr :roll:

par **Mister-Magoo** » 30 Août 2005 15:34

Ca correspond aux connections via le proxy

Si tu n'utilise pas le proxy (serveur mandataire en français dans le texte), tu n'auras aucun log la dedans ...

par **MI6Fred** » 30 Août 2005 15:34

Squid, le proxy intégré, est le serveur mandataire (traduction française, pas toujours explicite ...). Les logs contiennent les différents événements tels que les accès web via le proxy, les interdictions, ...
Bien entendu, si chez toi le proxy n'est pas activé, ces journaux ne contiennent rien !

Pour information, la définition d'un proxy (serveur mandataire) :
http://fr.wikipedia.org/wiki/Proxy

par **Les_Marches** » 30 Août 2005 15:50

+S

Squid !

par **kornfr** » 31 Août 2005 16:42

Ok donc

Journaux du serveur mandataire = correspond a tout les accès au Web via le proxy.

Journaux IDS = correspond a tout les attaques bloquées par IpCop/Snort

Journaux filtre URL = correspond a tout les tentatives d'accès à des sites interdits/blacklistés

En revanche le journal du par feu correspond à quoi ?
En effet il m'affiche

Code: Tout sélectionner: 16:29:46 GREEN-ACCEPT eth0 TCP 10.0.0.155 3718 ::::: 194.254.4.172 110(POP3)

Donc c’est un flux bloqué par le par feu ou un flux que le parfeu laisse passer ?

Auriez vous sous la main une doc expliquant un gros/en detail comment analyser les journaux ?

Merci

par **MI6Fred** » 31 Août 2005 16:52

Pour info, l'IDS n'est qu'un journal d'alerte, IPCop ne réagit pas à de telles attaques (sauf avec Guardian, non installé par défaut). Sinon, ces logs de firewall sont ceux de Netfilter, à toi de lire la documentation

.

Code: Tout sélectionner: 16:29:46 GREEN-ACCEPT eth0 TCP 10.0.0.155 3718 ::::: 194.254.4.172 110(POP3)

Heure | Règle | Interface | Protocole | Ip Source | Port Source | IP Destination | Port Destination

Là ça veut dire qu'il accepte (green-accept) ta connexion à ton serveur mail (110).
Pour info tu as des addons de traitement de logs ici :
http://firewalladdons.sourceforge.net/logging.html

Je pense notamment à Logsend qui te fait un petit rapport des logs (je ne l'ai pas testé) "humainement compréhensible"

.

par **kornfr** » 31 Août 2005 16:54

ok merci donc c la doc de urlfilter et non celle d'ipcop qu'il me faut

merci

A propos des Journaux dans IPCOP

A propos des Journaux dans IPCOP

Qui est en ligne ?