Então.... o squid vai ajudar muito a rastrear uma conexão de rede efetuada por um cliente seu, mas ele estará limitado, muitas vezes pelo acesso HTTP (certo, é o acesso mais comum e como no exemplo citado do Google, já seria suficiente para encontrar a origem).
O problema esta em como gerar log das outras conexões (ftp, ssh, etc...) e sabemos muito bem que o hacker[1] (mal intencionado) irá fazer de tudo para não ser descoberto e usar a saida HTTP é um pouco obvia. Eis a questão: é possível gerar um log/histórico de todas as conexões do cliente ? resposta: SIM, porém temos algumas questões em relação à isso. Um colega da lista citou a ferramenta tcpdump, é uma das alternativas, porém demanda processamento e armazenamento.... assim como outra ferramenta mais amigavél, NTOP[2], que ganharia em gerencia via web e armazenamento em banco de dados. Então, se existe disponibilidade de máquina (cpu + memória), disponibilidade de armazenamento e se a demanda de uso do provedor não for muito grande, é interessante usar o NTOP como ferramenta de histórico de conexão. Creio que seja possível poder armazenar até 30 dias ou mais de histórico em banco de dados, mas isso tudo depende do volume que será trafegado neste firewall. [1] http://bolologer.blogspot.com/2010/01/deus-poderia-ser-um-hacker.html [2] http://www.ntop.org/news.php Espero poder ter ajudado. -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Blog: http://www.luizgustavo.pro.br Em 4 de fevereiro de 2010 23:30, Cristian Nunes <cristian_n...@yahoo.com.br>escreveu: > > > pq vc nao instala o squid no servidor? > aí soh guardar os logs do squid > > ________________________________ > De: Alexandre Leite <alexandre....@gmail.com <alexandre.too%40gmail.com>> > > Para: > provedores-brasil@yahoogrupos.com.br<provedores-brasil%40yahoogrupos.com.br> > Enviadas: Quinta-feira, 4 de Fevereiro de 2010 23:07:50 > Assunto: RES: [provedores-brasil] Rastrear Acesso através do NAT > > > O único problema seria o tamanho do log. > > Você teria que fazer bkp dele diáriamente. > > De: provedores-brasil@ yahoogrupos. com.br > [mailto:provedores-bra...@yahoogrupos. > com.br] Em nome de Elias Andrade > Enviada em: quinta-feira, 4 de fevereiro de 2010 22:52 > Para: provedores-brasil@ yahoogrupos. com.br > Assunto: Re: [provedores- brasil] Rastrear Acesso através do NAT > > Caro, > > Essa é questão bastante discutida. > > Tivemos um caso recentemente onde um provedor recebeu uma intimação devido > à um cliente estar postando informações caluniosas no orkut. > > A pessoa caluniada entrou com uma ação na justiça, da qual fez contato com > o Google e eles passaram o IP de origem, do qual tinha o cenário igual o > seu. Infelizmente o servidor não fazia log HTTP (alias, nenhum log de > tráfego), e não foi possível identificar o cliente que efetuou o "crime". > Quando o IPV6 estiver realmente sendo utilizado essa questão vai ser um > pouco mais simples, mas por enquanto acredito que um "tcpdump" rolando no > servidor/gateway e gravando num arquivo texto poderia resolver o problema. > Não cheguei a pesquisar se existe uma solução de log que utilize tcpdump, > mas certamente seria funcional (ex: neste caso que comentei se tivesse um > tcpdump no servidor, com base nos logs de ip que o google repassou X horas e > etc seria possível identificar de qual cliente partiu a conexão). > > Abraços > > De qualquer > --- Em qui, 4/2/10, Listas TI <nlist...@gmail. com <mailto:nlist. > ti%40gmail. com> > escreveu: > > De: Listas TI <nlist...@gmail. com <mailto:nlist. ti%40gmail. com> > > Assunto: [provedores- brasil] Rastrear Acesso através do NAT > Para: provedores-brasil@ yahoogrupos. com.br > <mailto:provedores-brasil%40yahoogr > upos.com. br> > Data: Quinta-feira, 4 de Fevereiro de 2010, 22:27 > > Pessoal, gostaria de saber de que forma posso "rastrear" o uso da internet > > em minha rede. > > Atualmente tenho apenas um IP válido 201.x.x.x e faço NAT para os meus > > clientes. > > Sendo que por exemplo se um cliente tentar acessar ou fazer um "mal" uso da > > internet (ex.: hackear, tentar burlar algum sistema ou algo do gênero, > > etc...) e neste caso obviamente o IP registrado no alvo será o meu > > 201.x.x.x. > > Como saber qual cliente tentou fazer este acesso, por exemplo se isso for > > pedido para a minha empresa através da justiça por exemplo. > > Obs.: utilizo Linux. > > [As partes desta mensagem que não continham texto foram removidas] > > ____________ _________ _________ _________ _________ _________ _ > Veja quais são os assuntos do momento no Yahoo! +Buscados > http://br.maisbusca dos.yahoo. com > > > [As partes desta mensagem que não continham texto foram removidas] > > [As partes desta mensagem que não continham texto foram removidas] > > __________________________________________________________ > Veja quais são os assuntos do momento no Yahoo! +Buscados > http://br.maisbuscados.yahoo.com > > [As partes desta mensagem que não continham texto foram removidas] > > > [As partes desta mensagem que não continham texto foram removidas] ------------------------------------ ---------------------------------------------------------------- ATENÇÃO: Esta lista segue rígidas regras de moderação. Consulte-as em http://br.groups.yahoo.com/group/provedores-brasil/files e http://www.listas-discussao.cjb.net . ---------------------------------------------------------------- Sair da lista: provedores-brasil-unsubscr...@yahoogrupos.com.br ---------------------------------------------------------------- Servidor Newsgroup da lista: news.gmane.org grupo: gmane.comp.isp.brazil.provedores ---------------------------------------------------------------- Links do Yahoo! Grupos <*> Para visitar o site do seu grupo na web, acesse: http://br.groups.yahoo.com/group/provedores-brasil/ <*> Para sair deste grupo, envie um e-mail para: provedores-brasil-unsubscr...@yahoogrupos.com.br <*> O uso que você faz do Yahoo! Grupos está sujeito aos: http://br.yahoo.com/info/utos.html
