Jak logowac nowe polaczenia TCP userow?
To pytanie trapi niejednego admina sieciowego.
Samo logowanie nie jest skaplikowane, nalezy jednak pamietac, ze takie logi wymagaja duzo miejsca !
Osobiscie loguje:
AN: przez SYSLOG-NG 80 userow, podzielonych na 4 Gateway'e @4Mbit, dzienne logi to ok 40Mb.
FN: przez tcpdump'a, lokalnie na WRT54GL z dolutowana karta SD 1GB, ok 40 userow na laczu 6Mbit ok. 10-15Mb dziennie
Najlepiej uzyc do tego:
1. Komputera ktory udostepnia zasoby Samby, lub ma nasluchujacego sysloga
2. Ruterka z USB (np. Asus WL-500gP) i podpietym pendrivem: Samba badz syslog
3. WRT54GL z dolutowana karta pamieci SD: Samba, syslog, tcpdump
Wersja A: Router loguje lokalnie tzn. na karte badz usb
np. na dd-wrt + optware mozna wykozystac tcpdump'a (jest w repo optware)
tcpdump -i br0 -w /opt/1-log/log.miesiac.x -C 2 tcp\[13\]==2
Wersja B: Loguje remote tzn. Gateway nie ma dodatkowej pamieci wiec wysyla logi przez LAN na inna maszyne.
iptables -t nat -I PREROUTING -i br0 -p tcp -m state --state NEW -j LOG --log-prefix "New_Conn: "
Najlepiej nadaje sie do tego syslog-ng z odpowiednio ustawionymi filtrami.
Edytowany przez gurupl dnia 24-10-2007 01:29
----- Gateway -----
3x WRT54GL 1.1@OpenWRT White Russian 0.9
2x WRT54GL 1.1@DD-WRT + Optware @ 1GB SD HAMA
----- Hotspots / WDS -----
10x WRT54GL 1.1@DD-WRT
7x Buffalo WHR-G54S@DD-WRT
2x Buffalo WHR-HP-G54@DD-WRT
3x WRT54GS v6 @DD-WRT micro
1x AS
|
' target='_blank'>Link
