LINUX.ORG.RU
ФорумAdmin

Учёт трафика, проходящего через NAT


0

0

Рассмотрим ситуацию:

Есть локальная сетка и шлюз под управлением Linux, который соединяет её с внешним миром. Внешний адрес шлюза, к примеру: 195.28.35.48

На шлюзе работает NAT.

Допустим, выясняется, что удалённый хост 202.35.40.38 был атакован с внешнего интерфейса шлюза 195.28.35.48 с порта 1055. Требуется выяснить, какая машина в локальной сети обращалась к указанному удалённому хосту и при этом использовался внешний порт 1055 шлюза?

Различные сенсоры и утилиты по сбору трафика не дадут такой информации, поскольку слушают интерфейсы, не обращая внимания на наличие NAT... как тогда определить локальный ip рабочей станции с которой был атакован удалённый хост?

Может кто посоветовать средства для решения проблемы?

>Различные сенсоры и утилиты по сбору трафика не дадут такой информации, поскольку слушают интерфейсы, не обращая внимания на наличие NAT

что за гонево ?

# tail /var/log/ipcad/last
192.168.1.26 $GW_WITH_SQUID_IP 6 848 2409 8080 6 eth1
$GW_WITH_SQUID_IP 192.168.1.26 5 1162 8080 2408 6 eth1
192.168.1.26 $GW_WITH_SQUID_IP 5 888 2408 8080 6 eth1
$GW_WITH_SQUID_IP 192.168.1.26 5 1162 8080 2407 6 eth1
192.168.1.26 $GW_WITH_SQUID_IP 5 888 2407 8080 6 eth1
192.168.1.26 85.76.189.210 37 1824 1462 64929 6 eth1
85.76.189.210 192.168.1.26 48 3715 64929 1462 6 eth1
$GW_WITH_SQUID_IP 192.168.1.26 25 29377 8080 2406 6 eth1
192.168.1.26 $GW_WITH_SQUID_IP 16 1074 2406 8080 6 eth1

romka
()

>Различные сенсоры и утилиты по сбору трафика не дадут такой информации, поскольку слушают интерфейсы, не обращая внимания на наличие NAT

что за гонево ?

# tail /var/log/ipcad/last
192.168.1.26 GW_WITH_SQUID_IP 6 848 2409 8080 6 eth1
GW_WITH_SQUID_IP 192.168.1.26 5 1162 8080 2408 6 eth1
192.168.1.26 GW_WITH_SQUID_IP 5 888 2408 8080 6 eth1
GW_WITH_SQUID_IP 192.168.1.26 5 1162 8080 2407 6 eth1
192.168.1.26 GW_WITH_SQUID_IP 5 888 2407 8080 6 eth1
192.168.1.26 85.76.189.210 37 1824 1462 64929 6 eth1
85.76.189.210 192.168.1.26 48 3715 64929 1462 6 eth1
GW_WITH_SQUID_IP 192.168.1.26 25 29377 8080 2406 6 eth1
192.168.1.26 GW_WITH_SQUID_IP 16 1074 2406 8080 6 eth1

romka
()
Ответ на: комментарий от geekkoo

geekkoo, спасибо за информацию, прога занятная.. наглядная.. Вот бы ещё NetFlow умела экспортировать

andozer
() автор топика
Ответ на: комментарий от romka

romka, может и гонево, тогда потрудитесь объяснить что сие означает в лог файле?

andozer
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.