Jump to content
Калькуляторы

Идентификация стейтов. Реальник->Фейк.

Имеется:

1. сеть реальников /24

2. сеть фейков /22

3. НАТ из фейков в реальники.

 

---------

 

Пришли несколько запросов от всеми любимых силовых структур, с просьбой определить абонента, который с указанного реальника соединялся с указанным сайтом в указанное время.

Реальник принадлежит сети, используемой под нат.

 

Собственно, задача. Как однозначно фиксировать соответствие между фейком и реальником в заданный промежуток времени?

 

Интересны практические реализации.

 

Заранее спасибо!

Share this post


Link to post
Share on other sites

Зависит от того на чем сделан NAT.

Проще всего - netflow на фейки. Сложнее - скажем линуксовый conntrack умеет генерировать events, их тоже можно писать.

Share this post


Link to post
Share on other sites

На Freebsd - NG_NETFLOW перед натом

Share this post


Link to post
Share on other sites
Зависит от того на чем сделан NAT.

Проще всего - netflow на фейки. Сложнее - скажем линуксовый conntrack умеет генерировать events, их тоже можно писать.

Нат реализован через pf. ОС FreeBSD.

Сервер является терминатором PPTP (mpd5), NAT, Firewall.

 

А можно поподробнее про NG_NETFLOW в данном способе применения?

Share this post


Link to post
Share on other sites
Зависит от того на чем сделан NAT.

Проще всего - netflow на фейки. Сложнее - скажем линуксовый conntrack умеет генерировать events, их тоже можно писать.

Да, ipt_netflow пишет вполне достаточную информацию, будучи включенным только на внутреннем интерфейсе.

 

Например:

 

Start End Sif SrcIPaddress SrcP DIf DstIPaddress DstP P Fl Pkts Octets

0424.10:14:44.596 0424.10:14:46.040 28 10.0.1.130 1158 2 74.125.39.166 80 6 3 16 1082

0424.10:14:37.088 0424.10:14:46.076 28 10.0.1.105 1951 2 95.133.103.94 51759 6 2 3 144

0424.10:14:45.936 0424.10:14:46.132 30 10.0.0.44 4987 2 94.100.179.72 80 6 2 4 1009

 

Share this post


Link to post
Share on other sites
Зависит от того на чем сделан NAT.

Проще всего - netflow на фейки. Сложнее - скажем линуксовый conntrack умеет генерировать events, их тоже можно писать.

Нат реализован через pf. ОС FreeBSD.

Сервер является терминатором PPTP (mpd5), NAT, Firewall.

 

А можно поподробнее про NG_NETFLOW в данном способе применения?

http://mpd.sourceforge.net/doc5/mpd28.html#28

читать в конце про слова netflow-in netflow-out

Заодно постоавить flow-tools, и читать его ман.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this