kibermaster Опубликовано 23 апреля, 2009 · Жалоба Имеется: 1. сеть реальников /24 2. сеть фейков /22 3. НАТ из фейков в реальники. --------- Пришли несколько запросов от всеми любимых силовых структур, с просьбой определить абонента, который с указанного реальника соединялся с указанным сайтом в указанное время. Реальник принадлежит сети, используемой под нат. Собственно, задача. Как однозначно фиксировать соответствие между фейком и реальником в заданный промежуток времени? Интересны практические реализации. Заранее спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 24 апреля, 2009 · Жалоба Зависит от того на чем сделан NAT. Проще всего - netflow на фейки. Сложнее - скажем линуксовый conntrack умеет генерировать events, их тоже можно писать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IvanI Опубликовано 24 апреля, 2009 · Жалоба На Freebsd - NG_NETFLOW перед натом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kibermaster Опубликовано 24 апреля, 2009 · Жалоба Зависит от того на чем сделан NAT.Проще всего - netflow на фейки. Сложнее - скажем линуксовый conntrack умеет генерировать events, их тоже можно писать. Нат реализован через pf. ОС FreeBSD. Сервер является терминатором PPTP (mpd5), NAT, Firewall. А можно поподробнее про NG_NETFLOW в данном способе применения? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IvanI Опубликовано 24 апреля, 2009 · Жалоба у меня NG_NAT и сделано так http://forum.nag.ru/forum/index.php?showto...st&p=383256 Позже буду делать более 120 нод ната на сервер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cant Опубликовано 24 апреля, 2009 · Жалоба Зависит от того на чем сделан NAT.Проще всего - netflow на фейки. Сложнее - скажем линуксовый conntrack умеет генерировать events, их тоже можно писать. Да, ipt_netflow пишет вполне достаточную информацию, будучи включенным только на внутреннем интерфейсе. Например: Start End Sif SrcIPaddress SrcP DIf DstIPaddress DstP P Fl Pkts Octets 0424.10:14:44.596 0424.10:14:46.040 28 10.0.1.130 1158 2 74.125.39.166 80 6 3 16 1082 0424.10:14:37.088 0424.10:14:46.076 28 10.0.1.105 1951 2 95.133.103.94 51759 6 2 3 144 0424.10:14:45.936 0424.10:14:46.132 30 10.0.0.44 4987 2 94.100.179.72 80 6 2 4 1009 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mikevlz Опубликовано 24 апреля, 2009 · Жалоба Зависит от того на чем сделан NAT.Проще всего - netflow на фейки. Сложнее - скажем линуксовый conntrack умеет генерировать events, их тоже можно писать. Нат реализован через pf. ОС FreeBSD. Сервер является терминатором PPTP (mpd5), NAT, Firewall. А можно поподробнее про NG_NETFLOW в данном способе применения? http://mpd.sourceforge.net/doc5/mpd28.html#28читать в конце про слова netflow-in netflow-out Заодно постоавить flow-tools, и читать его ман. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...