Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam
Z pewnych powodów muszę się zająć maszyną którą wcześniej zarządzała inna osoba. Jest to router na OpenBSD. Packet filter to dla mnie nowość, i chociaż staram się nadrobić zaległości to potrzebuję pomocy z logowaniem gdyż muszę znaleźć szkodnika w sieci.
Wygląda to tak:
#NAT
pass out log quick on em0 inet from {192.168.10.0/24, 10.10.1.0/24, 172.16.0.0/24} to any modulate state nat-to xxx.xxx.xx.xx/29 source-hash 0x9c6fcc381f059d875b831ba9658d149b
Jak widać adresy wewnętrzne wychodzą klasą ip na zewnątrz. Niestety z tego co rozumiem to ta linijka działa w określonej kolejności, czyli logowanie odbywa się już po translacji adresów, więc w logu brak jest informacji o ip wewnętrznym.
Chciałbym prosić o pomoc w rozpisaniu regułki tak żebym mógł zebrać informacje która maszyna wychodzi jakim ip i gdzie, czyli coś takiego jak output z pfctl -s state.
Z góry dziękuję za pomoc.
Offline
Może coś z poniższych zadziała. PF-em się pobawiłem, a potem zostały tylko skrypty i już trochę nie pamiętam.
#1 ext_if="em0" match out log (all, to pflog0) on $ext_if inet from {192.168.10.0/24, 10.10.1.0/24, 172.16.0.0/24} to any tag pakiet_bedzie_natowany pass out tagged pakiet_bedzie_natowany modulate state nat-to 20.20.20.20/32 source-hash 0x9c6fcc381f059d875b831ba9658d149b match out log (all, to pflog0) tagged pakiet_bedzie_natowany #2 ext_if="em0" match out log (all, to pflog0) on $ext_if inet from {192.168.10.0/24, 10.10.1.0/24, 172.16.0.0/24} to any tag pakiet_bedzie_natowany pass out log (all, to pflog0) tagged pakiet_bedzie_natowany modulate state nat-to 20.20.20.20/32 source-hash 0x9c6fcc381f059d875b831ba9658d149b
Do czytania logów:
tcpdump -n -e -ttt -i pflog0
Ostatnio edytowany przez uzytkownikubunt (2016-11-28 15:16:01)
Offline
To jak podejrzewam, czytałeś:
http://openbsd.das.ufsc.br/faq/pf/pl/index.html
Ostatnio edytowany przez Jacekalex (2016-11-28 19:00:30)
Offline
A chyba trzeba jeszcze interfejs pflog podnieść
ifconfig pflog up
Offline
Dziękuję za odpowiedzi.
Samo logowanie działa, problem jest taki że nie loguje tego co potrzeba.
Sprawdzę zaproponowane rozwiązanie.
Linka oczywiście przestudiowałem przed zadaniem pytania, ale nie wszystko było jasne na tyle żebym sam doszedł do rozwiązania problemu.
Offline