classic.ISPforum.cz

POtřeboval bych logovat pomocí firewallu IP adresy, které vlezou na určitou adresu. Ale nechci mít v logu tisíce záznamů. Jde to nějak ošetřit aby to hodilo do logu jen začátek a konec spojení? Ono to asi jde, ale jak monitorovat třeba adresu http://www.neco.cz/adresa.htm ? To už asi nejde že? Myslím jen pomocí firewallu...

Začátek se dá označit takto:


a konec spojení takto:


dst-addresss či out-inteface doporučuji poněvadž server musí na SYN paket znovu odpovědět SYN paketem a měl by jste to jinak v logu 2x.

Co se adresy týče.Musely by se ukládat každý paket s daty spojení a ty poté vyšetřovat zda-li nebsahuje adresu a pokud je mi známo tak toto MikroTik neumí ,ale šlo by využít parametru content...ten vyšetřuje vnitřek paketu zda-li nebosahuje určitý text ,tudíž dpopručuji si omanglovat spojení a pak pro něj určit akri ve FW(třeba):

Není to sice 100%-tní ale mohlo b to teoreticky fungovat.

Grunt_Mich_An píše:Začátek se dá označit takto:

Kód: Vybrat vše

/ip firewall filter add dst-address=X.X.X.X protocol=tcp dst-port=80 tcp-flags=syn action=log

a konec spojení takto:

Kód: Vybrat vše

/ip firewall filter add dst-address=X.X.X.X protocol=tcp dst-port=80 tcp-flags=fin action=log

dst-addresss či out-inteface doporučuji poněvadž server musí na SYN paket znovu odpovědět SYN paketem a měl by jste to jinak v logu 2x.

Co se adresy týče.Musely by se ukládat každý paket s daty spojení a ty poté vyšetřovat zda-li nebsahuje adresu a pokud je mi známo tak toto MikroTik neumí ,ale šlo by využít parametru content...ten vyšetřuje vnitřek paketu zda-li nebosahuje určitý text ,tudíž dpopručuji si omanglovat spojení a pak pro něj určit akri ve FW(třeba):

Kód: Vybrat vše

/ip firewall mangle add chain=<forward nebo preroutering> dst-address=X.X.X.X protocol=tcp dst-port=80 content="GET /adresa.htm HTTP/1.1" action=mark-connection new-connection-mark=znacka

Není to sice 100%-tní ale mohlo b to teoreticky fungovat.

Díky moc za ochotu