Рассмотрим ситуацию:
Есть локальная сетка и шлюз под управлением Linux, который соединяет её с внешним миром. Внешний адрес шлюза, к примеру: 195.28.35.48
На шлюзе работает NAT.
Допустим, выясняется, что удалённый хост 202.35.40.38 был атакован с внешнего интерфейса шлюза 195.28.35.48 с порта 1055. Требуется выяснить, какая машина в локальной сети обращалась к указанному удалённому хосту и при этом использовался внешний порт 1055 шлюза?
Различные сенсоры и утилиты по сбору трафика не дадут такой информации, поскольку слушают интерфейсы, не обращая внимания на наличие NAT... как тогда определить локальный ip рабочей станции с которой был атакован удалённый хост?
Может кто посоветовать средства для решения проблемы?
