"Feb 1 10:07:22 gateway kernel: DROP_TCP_ROUTER IN=ppp0 OUT= MAC= SRC=192.168.x.x DST=212.227.175.90 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=19318 DF PROTO=TCP SPT=3319 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0"
So sieht ja ein normaler Eintrag in den Logfile(s) aus ... Ist es möglich, dass nicht die IP (bei SRC und DST) sondern deren Domainname geloggt wird? Also bei diesem Eintrag anstatt "DST=212.227.175.90" DST="www.pl-forum.de" drinsteht. Das Problem ist ja, dass man im Nachhinein andernfalls nicht mehr genau nachvollziehen kann, auf welchen Seiten, welcher Klient war, da ja zu einer IP Tausende Domainnamen gehören können. Ist der Netfilter in der Lage, dies zu bewerkstelligen, weil ich auf einen Proxy-Server gerne verzichten möchte. Oder Kennt jemand noch eine andere Möglichkeit, wie man genau loggen kann, mit welcher Domain welcher Klient wann eine Verbindung aufgebaut hat (außer einem Proxy)? Ich wäre für Tipps (außer Squid) sehr dankbar <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle"> ...
IPTABLES - Domainnamen statt IP loggen
Re: IPTABLES - Domainnamen statt IP loggen
Also ich glaube eine Auflösung der IP-Adressen von iptables willst du net wirklich <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle"> Das würde die Performance arg einschränken.
Aber es gibt Scripte, die die schon geschrieben Logfiles nachträglich aufbessern; schau mal bei freshmeat.net.
Aber es gibt Scripte, die die schon geschrieben Logfiles nachträglich aufbessern; schau mal bei freshmeat.net.
bye.olli
--
"Where's Oswald when we need him.."
--
"Where's Oswald when we need him.."
-
MrDeath
Re: IPTABLES - Domainnamen statt IP loggen
>Also ich glaube eine Auflösung der IP-Adressen von iptables willst du net wirklich Das würde die Performance arg einschränken.
Stimmt eigentlich schon, dass das eine enorme Verzögerung bedeuten würde ...
>Aber es gibt Scripte, die die schon geschrieben Logfiles nachträglich aufbessern; schau mal bei freshmeat.net
Diese Scripte machen dann aber auch nichts anderes, als das sie zu der IP-Adresse den momentanen Namen ausgeben ... wie ich schon bereit erwähnt habe, bringt das fast nichts, weil sich hinter einer IP-Adresse zich Tausende Namen verbergen können (siehe bspw. Webhoster wie Puretec ...). Solch ein Script hat man in Perl innerhalb kürzester Zeit geschrieben <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">. Mit HTTP1.1 ist es ja möglich, virtuelle Webserver zu konfigurieren ... diese Script können nachträglich die angeforderte Domain nicht mehr herausbekommen (ist ja logisch), sondern nur die IP-Adresse ... so würde bei jeder Domain, die bspw. von Puretec gehostet wird immer nur ein Domainname erscheinen (kundenserver.de) ...
In diesem Fall gebe ich es einfach die Suche auf, ich dachte eher an ein Programm, dass auch die Inhalte der Datenpakete z.T. untersucht, um die angeforderte URL bei einer neuen Verbindung herauszubekommen ... Schade eigentlich, dass das dann nur mit nem Proxy möglich ist <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle"> ...
Stimmt eigentlich schon, dass das eine enorme Verzögerung bedeuten würde ...
>Aber es gibt Scripte, die die schon geschrieben Logfiles nachträglich aufbessern; schau mal bei freshmeat.net
Diese Scripte machen dann aber auch nichts anderes, als das sie zu der IP-Adresse den momentanen Namen ausgeben ... wie ich schon bereit erwähnt habe, bringt das fast nichts, weil sich hinter einer IP-Adresse zich Tausende Namen verbergen können (siehe bspw. Webhoster wie Puretec ...). Solch ein Script hat man in Perl innerhalb kürzester Zeit geschrieben <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">. Mit HTTP1.1 ist es ja möglich, virtuelle Webserver zu konfigurieren ... diese Script können nachträglich die angeforderte Domain nicht mehr herausbekommen (ist ja logisch), sondern nur die IP-Adresse ... so würde bei jeder Domain, die bspw. von Puretec gehostet wird immer nur ein Domainname erscheinen (kundenserver.de) ...
In diesem Fall gebe ich es einfach die Suche auf, ich dachte eher an ein Programm, dass auch die Inhalte der Datenpakete z.T. untersucht, um die angeforderte URL bei einer neuen Verbindung herauszubekommen ... Schade eigentlich, dass das dann nur mit nem Proxy möglich ist <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle"> ...
Re: IPTABLES - Domainnamen statt IP loggen
Hm, ok, das kommt davon, wenn man die Posts nicht bis zum Ende liest...
Jo, die einzige Möglichkeit, die ich dann dann sehe ist ein einen Proxy einzusetzen, der das mitschreibt. Es ja genau der Sinn der Application-Level-Gateways, sich die Daten nicht auf Paket- sondern auf Application
Level anzusehen und entsprechend zu behandeln.
Jo, die einzige Möglichkeit, die ich dann dann sehe ist ein einen Proxy einzusetzen, der das mitschreibt. Es ja genau der Sinn der Application-Level-Gateways, sich die Daten nicht auf Paket- sondern auf Application
Level anzusehen und entsprechend zu behandeln.
bye.olli
--
"Where's Oswald when we need him.."
--
"Where's Oswald when we need him.."