Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
IPTABLES - Domainnamen statt IP loggen

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
MrDeath
Gast





BeitragVerfasst am: 01. Feb 2002 16:07   Titel: IPTABLES - Domainnamen statt IP loggen

"Feb 1 10:07:22 gateway kernel: DROP_TCP_ROUTER IN=ppp0 OUT= MAC= SRC=192.168.x.x DST=212.227.175.90 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=19318 DF PROTO=TCP SPT=3319 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0"

So sieht ja ein normaler Eintrag in den Logfile(s) aus ... Ist es möglich, dass nicht die IP (bei SRC und DST) sondern deren Domainname geloggt wird? Also bei diesem Eintrag anstatt "DST=212.227.175.90" DST="www.pl-forum.de" drinsteht. Das Problem ist ja, dass man im Nachhinein andernfalls nicht mehr genau nachvollziehen kann, auf welchen Seiten, welcher Klient war, da ja zu einer IP Tausende Domainnamen gehören können. Ist der Netfilter in der Lage, dies zu bewerkstelligen, weil ich auf einen Proxy-Server gerne verzichten möchte. Oder Kennt jemand noch eine andere Möglichkeit, wie man genau loggen kann, mit welcher Domain welcher Klient wann eine Verbindung aufgebaut hat (außer einem Proxy)? Ich wäre für Tipps (außer Squid) sehr dankbar ...
 

odauter



Anmeldungsdatum: 17.04.2000
Beiträge: 460
Wohnort: Hamburg

BeitragVerfasst am: 06. Feb 2002 11:25   Titel: Re: IPTABLES - Domainnamen statt IP loggen

Also ich glaube eine Auflösung der IP-Adressen von iptables willst du net wirklich Das würde die Performance arg einschränken.
Aber es gibt Scripte, die die schon geschrieben Logfiles nachträglich aufbessern; schau mal bei freshmeat.net.
_________________
bye.olli
--
"Where's Oswald when we need him.."
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen

MrDeath
Gast





BeitragVerfasst am: 06. Feb 2002 13:28   Titel: Re: IPTABLES - Domainnamen statt IP loggen

>Also ich glaube eine Auflösung der IP-Adressen von iptables willst du net wirklich Das würde die Performance arg einschränken.

Stimmt eigentlich schon, dass das eine enorme Verzögerung bedeuten würde ...

>Aber es gibt Scripte, die die schon geschrieben Logfiles nachträglich aufbessern; schau mal bei freshmeat.net

Diese Scripte machen dann aber auch nichts anderes, als das sie zu der IP-Adresse den momentanen Namen ausgeben ... wie ich schon bereit erwähnt habe, bringt das fast nichts, weil sich hinter einer IP-Adresse zich Tausende Namen verbergen können (siehe bspw. Webhoster wie Puretec ...). Solch ein Script hat man in Perl innerhalb kürzester Zeit geschrieben . Mit HTTP1.1 ist es ja möglich, virtuelle Webserver zu konfigurieren ... diese Script können nachträglich die angeforderte Domain nicht mehr herausbekommen (ist ja logisch), sondern nur die IP-Adresse ... so würde bei jeder Domain, die bspw. von Puretec gehostet wird immer nur ein Domainname erscheinen (kundenserver.de) ...

In diesem Fall gebe ich es einfach die Suche auf, ich dachte eher an ein Programm, dass auch die Inhalte der Datenpakete z.T. untersucht, um die angeforderte URL bei einer neuen Verbindung herauszubekommen ... Schade eigentlich, dass das dann nur mit nem Proxy möglich ist ...
 

odauter



Anmeldungsdatum: 17.04.2000
Beiträge: 460
Wohnort: Hamburg

BeitragVerfasst am: 06. Feb 2002 14:58   Titel: Re: IPTABLES - Domainnamen statt IP loggen

Hm, ok, das kommt davon, wenn man die Posts nicht bis zum Ende liest...
Jo, die einzige Möglichkeit, die ich dann dann sehe ist ein einen Proxy einzusetzen, der das mitschreibt. Es ja genau der Sinn der Application-Level-Gateways, sich die Daten nicht auf Paket- sondern auf Application
Level anzusehen und entsprechend zu behandeln.
_________________
bye.olli
--
"Where's Oswald when we need him.."
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy