D-Link • Просмотр темы - логи на dfl-800, немогу разобраться.

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

логи на dfl-800, немогу разобраться.

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 1

[ Сообщений: 7 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

Mugger

Заголовок сообщения: логи на dfl-800, немогу разобраться.

Добавлено: Пн янв 19, 2009 00:54

Зарегистрирован: Вс июл 06, 2008 17:52
Сообщений: 27

помогите пожалуйста разобраться в логах.

Задача - понять кто скачал фаил по http.

Решение:
прошивка 2,20,03
рулесы:
lan_to_wan
->block_http NAT service - HTTP
->allow_standart NAT service - all_tcpudp

В обоих рулах стоит логи уровня "debug"

сервис http привязан к стандартному alg - http-outbound у которого в фильтрах добавлены несколько сайтов на блок.
Больше в нём нечего не менял.

Создал в разделе "Log and Event Receivers " отправку лога на 514 порт(syslog) другого компа.
в фильтре выбрано все уровни.
facility = local0

Зашёл на сайт кипа, скачал установщик.

Увидел два лога. conn и alg.

в alg вижу свой ип адрес. вижу ссылку на скачку с именем файла, но termsent = 84.
в conn вижу внешний ip адресс dfl800 и termsent=1813480

но нету перекрёстных ссылок. Т.е. я немогу понять кто скачал фаил. Я вижу что с определённого компьютера был запрос на фаил, но при этом скачено почти нуль.
С другой стороны я вижу что conn говорит скачан большой обьём, но при этом я незнаю с какого внутреннего ип адреса скачали.
В чём моя ошибка?

192.168.1.168 - мой комп внутри сети
142.31.79.188 - внешний ип dfl800

Цитата:

[2009-01-19 00:47:21] FW: ALG: prio=0 id=00200001 rev=1 event=alg_session_open algmod=http algsesid=193545 connipproto=TCP connrecvif=lan connsrcip=192.168.1.168 connsrcport=1863 conndestif=core conndestip=195.239.111.217 conndestport=80 origsent=88 termsent=44

Цитата:

[2009-01-19 00:47:21] FW: ALG: prio=0 id=00200125 rev=2 event=request_url action=allow categories="unfiltered" audit=off override=no connipproto=TCP connrecvif=lan connsrcip=192.168.1.168 connsrcport=1863 conndestif=core conndestip=195.239.111.217 conndestport=80 origsent=794 termsent=84 url="download.qip.ru/qip8080.zip" algname=http-outbound algmod=http algsesid=193545

Цитата:

[2009-01-19 00:47:35] FW: ALG: prio=0 id=00200002 rev=1 event=alg_session_closed algmod=http algsesid=193545

Цитата:

[2009-01-19 00:47:36] FW: CONN: prio=0 id=00600005 rev=1 event=conn_close_natsat action=close rule=Block_http conn=close connipproto=TCP connrecvif=core connsrcip=142.31.79.188 connsrcport=7086 conndestif=wan1 conndestip=195.239.111.217 conndestport=80 connnewsrcip=142.31.79.188 connnewsrcport=7086 connnewdestip=195.239.111.217 connnewdestport=80 origsent=49430 termsent=1820959

Вернуться наверх

Mugger

Заголовок сообщения:

Добавлено: Пн янв 19, 2009 01:26

Зарегистрирован: Вс июл 06, 2008 17:52
Сообщений: 27

С размеров скаченного и информацией в conn вроде разобрался.
Пропустил уровень debug в "MemLog".

Но вопрос остался. Как чвязать сообщения alg и conn?
Как связать 1,8 мб с закачкой архива?

conn теперь выглядит вот так:

Цитата:

[2009-01-19 01:14:04] FW: CONN: prio=0 id=00600005 rev=1 event=conn_close_natsat action=close rule=Block_http conn=close connipproto=TCP connrecvif=lan connsrcip=192.168.1.168 connsrcport=1994 conndestif=core conndestip=195.68.160.219 conndestport=80 connnewsrcip=142.31.79.188 connnewsrcport=24807 connnewdestip=195.68.160.219 connnewdestport=80 origsent=26474 termsent=1813400

alg не изменился.

Вернуться наверх

danilovav

Заголовок сообщения:

Добавлено: Пн янв 19, 2009 12:46

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Ведите таблицу подключений и по ней привязывайте конкретный conn к конкретному ALG. Явной привязки между ними нет никакой.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

Mugger

Заголовок сообщения:

Добавлено: Вт янв 20, 2009 14:55

Зарегистрирован: Вс июл 06, 2008 17:52
Сообщений: 27

Спасибо. Понял.

тогда проще смотреть по времени закрытия сесии и ИП адресу цели.
Хотя могут быть ошибки....

Вернуться наверх

Mugger

Заголовок сообщения:

Добавлено: Чт янв 22, 2009 15:47

Зарегистрирован: Вс июл 06, 2008 17:52
Сообщений: 27

Ещё вопрос.

А данные по трафику CONN и ALG дублируются?
Или их нужно как-то сумировать?

Вернуться наверх

danilovav

Заголовок сообщения:

Добавлено: Пт янв 23, 2009 05:19

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru

Дублируются. Причем присмотритесь к ALG, вы будете "приятно" удивлены.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Вернуться наверх

Mugger

Заголовок сообщения:

Добавлено: Пт янв 23, 2009 21:51

Зарегистрирован: Вс июл 06, 2008 17:52
Сообщений: 27

danilovav писал(а):

Дублируются. Причем присмотритесь к ALG, вы будете "приятно" удивлены.

Меня вообще в ALG цифры по трафику удивляют.
Непонятно откуда эти цифры вообще берутся!
по разному пробовал их складывать... всёравно непонятно что за байты они показывают.

Спасибо большое за помощь!!!
Вроде больше вопросов нет! :-)

Спасибо!

Вернуться наверх

Страница 1 из 1

[ Сообщений: 7 ]

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Bing [Bot] и гости: 295

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения