NAT LOG elegendő információ

Hálózatok általános

Uraim!

Elsősorban olyanokhoz szólna a kérdésem akik internet szolgáltatónál dolgoznak és csináltak/kezelnek NAT logot.

Most kaptam meg feladatként és még nem csináltam ilyet.

Kezdetben az egyik kolléga csinált egy logolást, de az túl nagy volt a következő adatokból egy sor a log fileban:

Jun 18 15:01:20 probaproxy kernel: [24633499.222345] NAT_LOGIN=vlan181 OUT=eth0 MAC=00:0c:29:4d:91:f1:00:19:99:b0:8a:34:08:00 SRC=192.168.181.12 DST=1 73.194.39.184 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=2884 DF PROTO=TCP SPT=49638 DPT=443 WINDOW=0 RES=0x00 ACK RST URGP =0.

Majd legyalultam ennyirre:

un 19 11:44:21 probaproxy kernel: [24708045.258643] NAT_LOGIN= OUT=vlan180 SRC=192.168.181.14 DST=192.168.180.70 LEN=106 TOS=0x00 PREC=0x00 TTL=127 ID=28232 PROTO=UDP SPT=54298 DPT=161 LEN=86

De az lenne a legjobb ha csak ennyi lenne:

Ami nekem kellene ebből az csupán ennyi:

Jun 18 15:01:20 SRC=192.168.181.12 DST=173.194.39.184

Ha jól tudom ez is elegendő a törvényi előírásnak.( tehát az időpont meg a forrás + cél ip)

Bármilyen építő jellegű kritikát, javaslatot szívesen fogadok és köszönök!

Üdv.

  • 6645 megtekintés

( tttaaa | 2014. 06. 20., p – 17:02 )

Nem dolgoztam (még) ISP-nél, és nem tudom milyen jogi vonatkozása van
a dolognak.

A LOG target formátumát nem igazán lehet konfigurálni.

Egyik megoldás, hogy logrotate után szűröd ki ami neked kell. Ízlés szerint
awk, sed, perl, ...

Ha valós időben kell, akkor javaslom a syslog-ng használatát. Jól konfigurálható,
hogy a teljes log-üzenetből mit írjon a .log fájlba.

Vagy LOG target helyett ULOG. Ekkor szükséged lesz valamilyen ulogd-re, amit a
neked megfelelő log-formátumra konfigolhatsz.

( bAndie9100 | 2014. 06. 20., p – 19:10 )

ez iptables log-nak tűnik. a LOG target írja oda a NAT_LOGIN mezőt, vagy --log-prefix kapcsolóval konstans meg van adva abban a szabályban?

~~~~~~~~
deb http://deb.metaltux.tk/ wheezy yazzy repack

:DDD
Jól van, nem csak engem szopatott a kis drága... :)
Az nem NAT_LOGIN, hanem NAT_LOG prefix és mögötte az IN=, mint INput interface. ;)

Az érdekelne, hogy hogyan sikerült a kérdezőnek "legyalulnia", mert alaphelyzetben úgy tudom, nem lehet variálni a log bejegyzések tartalmával.

lol ez vicces, nem tett spacét a log-prefix után :)
aszittem már ip csomag szinten nyomon követik, melyik előfizetőtől származik a forgalom :)

szerintem az iptables továbbra is uazt a kimenetet adja, és textutils-szal szűrte át külön. xdamyenx?

~~~~~~~~
deb http://deb.metaltux.tk/ wheezy yazzy repack

Huh, hát lehet nem ezt a választ várjátok, de egy másik láncot figyeltem, FORWARD helyett a POSTROUTING láncot. A NAT tábla beépített láncai ugyebár a PREROUTING,OUTPUT,POSTROUTING.

Átírtam a szabályt és kevesebb lett az infó is. Ez amolyan kísérletezés volt egyébként.

( gabori | 2014. 06. 21., szo – 17:04 )

Hali!

Anno nekem is volt hasonló bajom. De egy idő után fel kellett adni az iptables-es megoldást. Egyszerűen túl nagy adat keletkezik. Én a végén az ipaudit nevű kóddal oldattam meg. Az pont a megfelelő és a szükséges adatokat küldi ki.