Przemysław Backiel wrote: > > stanąłem przed zadaniem logowania ruchu dla policji, etc. [...] > tzn, chce miec liste > kto, gdzie się łaczył, i dokładny timestamp.
Co do timestampa to powinieneś mieć synchronizację z dobrymi serwerami ntp. Jeżeli policji wystarczy tylko informacja o inicjacji sesji tcp to zwykły log z iptables powinien wystarczyć - nie daje to co prawda żadnej innej wiedzy poza czasem transmisji, wykorzystanymi adresami ip, portami, wielkością transmisji (logowanej), flagami, lokalnym interfejsem sieciowym i o ile masz maszyny w LAN to ich MAC-adresami. Można tu zaznaczyć że w takim logu znajdują się tylko dane na temat adresów jakimi przedstawia się dany komputer - nie muszą być one powiązane fizycznie z danym komputerem (np. ktoś może podszywać się pod sąsiada, podstawiając jego MAC adres itp.) no i oczywiście z konkretną osobą (no chyba że pracujesz w więziennictwie i masz sytuację jeden komputer - jedna cela - jeden osadzony ;-). Aby mieć logi z iptables musisz używać reguł z '-j LOG' przed każdą regułką puszczającą ruch - najlepiej na wszystkie łańcuchy INPUT/OUTPUT/FORWARD daj politykę typu DROP - wtedy każdy puszczany ruch będzie musiał mieć odpowiednią regułe i odpowiadającą jej regułę logowania. Jeśli chciałbyś logować całą (wybraną) transmisję to polecam moduł iptables ulog i ulogd (lub logowanie z Open/FeeBSDowego pf-a), snorta, tcpdump z odpowiednim filtrem + duży dysk bo pliki mogą być duże. Inną sprawą jest zapewnienie że gromadzone przez ciebie logi są nienaruszone (tj. nikt w międzyczasie ich nie modyfikował, niczego nie kasował, lub dopisywał). Być może rozsądną rzeczą jest logowanie/trzymanie logów na dedykowanej maszynie - w momencie gdy smutni panowie zapukają do Twych drzwi w celu zabezpieczenia logów, to wyrwą Ci tylko serwer z logami, a nie cały firewall. Pozdrawiam, Marek _______________________________________________ pld-users-pl mailing list [email protected] http://lists.pld-linux.org/mailman/listinfo/pld-users-pl
