D-Link • Просмотр темы - Анализ логов DFL-210

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Анализ логов DFL-210

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 1

[ Сообщений: 13 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

PantinSN

Заголовок сообщения: Анализ логов DFL-210

Добавлено: Пт авг 29, 2008 13:37

Зарегистрирован: Вт авг 12, 2008 11:28
Сообщений: 16

Хотелось бы узнать можно ли на DFL-210 в удаленный syslog сервер передавать url-адреса посещаемых сайтов, а не только их ip ?

Вернуться наверх

Sergey Vasiliev

Заголовок сообщения:

Добавлено: Пт авг 29, 2008 14:03

Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow

HTTP_ALG указывает в логах url

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Вернуться наверх

PantinSN

Заголовок сообщения:

Добавлено: Пт авг 29, 2008 14:22

Зарегистрирован: Вт авг 12, 2008 11:28
Сообщений: 16

Sergey Vasiliev писал(а):

HTTP_ALG указывает в логах url

Спасибо !!! Сам сглупил, ALG настроил, весь не http трафик проходит через TCPUDP_ALL, где галочка лог стоит, а вот на http_all/http_alg забыл галку "лог" поставить

САНКС еще раз !

Вернуться наверх

PantinSN

Заголовок сообщения:

Добавлено: Пн сен 01, 2008 09:46

Зарегистрирован: Вт авг 12, 2008 11:28
Сообщений: 16

А не подскажете еще, после настройки протоколирования ALG в логах вылазют такие строки:

Код:

2008-09-01 10:26:54   Local0.Notice   192.168.1.250   [2008-09-01 10:27:19] FW: ALG: prio=2 id=00200125 rev=2 event=request_url action=allow categories="unfiltered" audit=off override=no connipproto=TCP connrecvif=lan connsrcip=192.168.1.203 connsrcport=1265 conndestif=core conndestip=81.176.228.53 conndestport=80 origsent=3361 termsent=1755url="vologdalove.ru/blue_findw.gif" algname=http-outbound algmod=http algsesid=22799

Соответственно, чей это трафик сказать невозможно (по ip - не вариант), как узнать правило маршрутизации откуда это лезет ?

И еще, есть ощущение, что ALG возвращает только факты открытия/закрытия tcp сессий при срабатывании фильтров, а не сами пакеты внутри сессии, потому как в логах НА ВСЕХ пакетах от ALG кол-во трафика стоит 0

Вернуться наверх

danilovav

Заголовок сообщения:

Добавлено: Пн сен 01, 2008 10:10

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Трафик правильнее считать по FW CONN, с учетом коннектов. Ибо зачастую на закрывающем пакете будет показан правильный объем, но не совсем те IP адреса.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

PantinSN

Заголовок сообщения:

Добавлено: Пн сен 01, 2008 12:44

Зарегистрирован: Вт авг 12, 2008 11:28
Сообщений: 16

danilovav писал(а):

А не подскажешь как, ибо у меня ток АЛГ дает имена, а все остальное - только ip

Вернуться наверх

danilovav

Заголовок сообщения:

Добавлено: Пн сен 01, 2008 13:27

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Анализировать все вместе, что собственно и делает мой софт

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

PantinSN

Заголовок сообщения:

Добавлено: Пн сен 01, 2008 14:07

Зарегистрирован: Вт авг 12, 2008 11:28
Сообщений: 16

danilovav писал(а):

Анализировать все вместе, что собственно и делает мой софт

Еще б кнопку "скачать" под иконкой "free" сделал на своем сайте

Вернуться наверх

йцукен

Заголовок сообщения:

Добавлено: Вт сен 02, 2008 14:10

Зарегистрирован: Вт авг 05, 2008 00:40
Сообщений: 42

PantinSN писал(а):

danilovav писал(а):

Анализировать все вместе, что собственно и делает мой софт

Еще б кнопку "скачать" под иконкой "free" сделал на своем сайте

Вернуться наверх

NFS_Daemon

Заголовок сообщения:

Добавлено: Вт сен 02, 2008 20:19

Зарегистрирован: Чт июл 31, 2008 11:16
Сообщений: 42

Цитата:

И еще, есть ощущение, что ALG возвращает только факты открытия/закрытия tcp сессий при срабатывании фильтров, а не сами пакеты внутри сессии, потому как в логах НА ВСЕХ пакетах от ALG кол-во трафика стоит 0

Эм, так и должно быть: этим то и отличаются Allow и Fast Allow. Первый фильтрует только начало сессии, а второй все пакеты.

Вернуться наверх

PantinSN

Заголовок сообщения:

Добавлено: Ср сен 03, 2008 10:53

Зарегистрирован: Вт авг 12, 2008 11:28
Сообщений: 16

NFS_Daemon писал(а):

Логично, спасибо за светлую мысль

Вернуться наверх

Sergey Vasiliev

Заголовок сообщения:

Добавлено: Пн сен 08, 2008 10:29

Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow

NFS_Daemon писал(а):

Цитата:

Нет это не так. И действие этих правил отличается. Allow позволяет пройти пакету, занося это соединение в таблицу соединений устройства, и по этому правило на обратный трафик не нужно. Forward Fast, просто прокидывает пакет не занося его в таблицу соединений, и на обратный трафик уже нужно правило.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Вернуться наверх

PantinSN

Заголовок сообщения:

Добавлено: Пн сен 15, 2008 10:41

Зарегистрирован: Вт авг 12, 2008 11:28
Сообщений: 16

Sergey Vasiliev писал(а):

....
Allow позволяет пройти пакету, занося это соединение в таблицу соединений устройства, и по этому правило на обратный трафик не нужно. Forward Fast, просто прокидывает пакет не занося его в таблицу соединений, и на обратный трафик уже нужно правило.

Спасибо за разъяснение, как грится: "ЗАРАБОТАЛО !!!"

Вернуться наверх

Страница 1 из 1

[ Сообщений: 13 ]

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 55

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения