❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Začátek a konec spojení - loging
Začátek a konec spojení - loging
POtřeboval bych logovat pomocí firewallu IP adresy, které vlezou na určitou adresu. Ale nechci mít v logu tisíce záznamů. Jde to nějak ošetřit aby to hodilo do logu jen začátek a konec spojení? Ono to asi jde, ale jak monitorovat třeba adresu http://www.neco.cz/adresa.htm ? To už asi nejde že? Myslím jen pomocí firewallu...
0 x
-
Petr Vlašic
- Příspěvky: 588
- Registrován: 19 years ago
- Bydliště: Lanžhot
- Kontaktovat uživatele:
Začátek se dá označit takto:
a konec spojení takto:
dst-addresss či out-inteface doporučuji poněvadž server musí na SYN paket znovu odpovědět SYN paketem a měl by jste to jinak v logu 2x.
Co se adresy týče.Musely by se ukládat každý paket s daty spojení a ty poté vyšetřovat zda-li nebsahuje adresu a pokud je mi známo tak toto MikroTik neumí ,ale šlo by využít parametru content...ten vyšetřuje vnitřek paketu zda-li nebosahuje určitý text ,tudíž dpopručuji si omanglovat spojení a pak pro něj určit akri ve FW(třeba):
Není to sice 100%-tní ale mohlo b to teoreticky fungovat.
Kód: Vybrat vše
/ip firewall filter add dst-address=X.X.X.X protocol=tcp dst-port=80 tcp-flags=syn action=loga konec spojení takto:
Kód: Vybrat vše
/ip firewall filter add dst-address=X.X.X.X protocol=tcp dst-port=80 tcp-flags=fin action=logdst-addresss či out-inteface doporučuji poněvadž server musí na SYN paket znovu odpovědět SYN paketem a měl by jste to jinak v logu 2x.
Co se adresy týče.Musely by se ukládat každý paket s daty spojení a ty poté vyšetřovat zda-li nebsahuje adresu a pokud je mi známo tak toto MikroTik neumí ,ale šlo by využít parametru content...ten vyšetřuje vnitřek paketu zda-li nebosahuje určitý text ,tudíž dpopručuji si omanglovat spojení a pak pro něj určit akri ve FW(třeba):
Kód: Vybrat vše
/ip firewall mangle add chain=<forward nebo preroutering> dst-address=X.X.X.X protocol=tcp dst-port=80 content="GET /adresa.htm HTTP/1.1" action=mark-connection new-connection-mark=znackaNení to sice 100%-tní ale mohlo b to teoreticky fungovat.
0 x
Grunt_Mich_An píše:Začátek se dá označit takto:Kód: Vybrat vše
/ip firewall filter add dst-address=X.X.X.X protocol=tcp dst-port=80 tcp-flags=syn action=log
a konec spojení takto:Kód: Vybrat vše
/ip firewall filter add dst-address=X.X.X.X protocol=tcp dst-port=80 tcp-flags=fin action=log
dst-addresss či out-inteface doporučuji poněvadž server musí na SYN paket znovu odpovědět SYN paketem a měl by jste to jinak v logu 2x.
Co se adresy týče.Musely by se ukládat každý paket s daty spojení a ty poté vyšetřovat zda-li nebsahuje adresu a pokud je mi známo tak toto MikroTik neumí ,ale šlo by využít parametru content...ten vyšetřuje vnitřek paketu zda-li nebosahuje určitý text ,tudíž dpopručuji si omanglovat spojení a pak pro něj určit akri ve FW(třeba):Kód: Vybrat vše
/ip firewall mangle add chain=<forward nebo preroutering> dst-address=X.X.X.X protocol=tcp dst-port=80 content="GET /adresa.htm HTTP/1.1" action=mark-connection new-connection-mark=znacka
Není to sice 100%-tní ale mohlo b to teoreticky fungovat.
Díky moc za ochotu
0 x