Toon posts:

[IPTABLES]Loggen van website verkeer

Pagina: 1
Acties:

donderdag 3 oktober 2002 15:33

Acties:
  • urk_forever
  • Registratie: Juni 2001
  • Laatst online: 19-05 17:36

urk_forever

Topicstarter
We hebben hier een firewall met iptables, en we willen graag zien welke sites door de gebruikers worden bezocht. Iets in de trand van:

code:
1
2

Tijd          Datum     Client IP           website
12.12.00 12/12/02 192.168.0.***  www.eensite.nl


Hoe kan ik dit het beste doen? Zijn hier pakketten voor beschikbaar voor Linux?
Ik had zelf bedacht dat ik misschien met Iptables deze data kon loggen naar een MySQL database en dat dan uitlezen via de browser met php? Maar hoe log ik met iptables direct naar een mysql dbase?
Wie kan me hier wat tips over geven?
Ik heb al gezocht op freshmeat/google/gathering en wel wat dingen gevonden maar niks wat ik echt kon gebruiken.

Hail to the king baby!

donderdag 3 oktober 2002 15:56

Acties:

Verwijderd

Dit is niet via IPTABLES te achterhalen, je zal een programma als Big Brother moeten gebruiken.

donderdag 3 oktober 2002 16:04

Acties:

Verwijderd

Verwijderd schreef op 03 oktober 2002 @ 15:56:
Dit is niet via IPTABLES te achterhalen, je zal een programma als Big Brother moeten gebruiken.
Natuurlijk kan dat wel via IPTABLES, je logt gewoon alle SYN pakketen met destination port 80, die kun je dan later met bv nslookup naar een webadres omzetten.

Dit werkt overigens niet in de volgende gevallen:
- webservers die niet op poort 80 draaien (<5 %)
- webservers waar meerdere sites op draaien (ik gok +/- 30%)

Ik weet niet hoe je met IPTABLES naar een MySQL database kan loggen, maar weet wel dat het kan... check de IPTABLES howto's.

donderdag 3 oktober 2002 16:49

Acties:
  • Stan
  • Registratie: Augustus 2002
  • Laatst online: 16-08-2024

Stan

Wat bedoel je precies?
Dat je een server hebt en wilt zien welke sites op jouw server de bezoekers bezoeken?
Of dat je een server hebt met 1 webserver erop en wilt zien wie die server bezoeken?
Of dat je een gateway beheert en wilt zien welke sites op internet gebruikers onder jou bezoeken?

donderdag 3 oktober 2002 16:50

Acties:
  • urk_forever
  • Registratie: Juni 2001
  • Laatst online: 19-05 17:36

urk_forever

Topicstarter
hmm, als ik de volgende rule gebruik om te loggen zegt ie dat --tcp-flags 2 args nodig heeft :?

code:
1

$IPTABLES -A tcp_packets -i $LAN_IFACE -o $INET_IFACE -p tcp --tcp-flags SYN --destination-port 80 -j LOG --log-prefix "Poort 80: "

Hail to the king baby!

donderdag 3 oktober 2002 16:51

Acties:
  • urk_forever
  • Registratie: Juni 2001
  • Laatst online: 19-05 17:36

urk_forever

Topicstarter
Stan schreef op 03 oktober 2002 @ 16:49:
Wat bedoel je precies?
Dat je een server hebt en wilt zien welke sites op jouw server de bezoekers bezoeken?
Of dat je een server hebt met 1 webserver erop en wilt zien wie die server bezoeken?
Of dat je een gateway beheert en wilt zien welke sites op internet gebruikers onder jou bezoeken?
De laatste, de machine wordt gebruikt om internet te delen en we willen zien welke sites er bezocht worden.

Hail to the king baby!

donderdag 3 oktober 2002 16:58

Acties:
  • Redje
  • Registratie: Juli 2000
  • Laatst online: 19-05 19:17

Redje

Draai anders gewoon Squid in transparante modus... deze logt dan netjes alle URLs, mits de webservers op poort 80 draaien.
Pagina: 1
Reageer