Freesco, NND, CDN, EOS
http://forum.freesco.pl/

wpisy w logu
http://forum.freesco.pl/viewtopic.php?f=35&t=378		 Strona 1 z 1
Autor:  Anonymous [ czwartek, 12 września 2002, 21:12 ]
Tytuł:  wpisy w logu
jak sprawdzic jakie ip (tzn. jaki user) kiedy korzystal z netu? podobno named robi jakies wpisy w logu, ale u mnie zadnych nie ma. tzn sa, ale nie bardzo chyba o te chodzi:

Sep 12 20:57:09 - named[173]: starting. named 4.9.3-BETA26 Sun Nov 26 20:58:49 CST 1995 ^Iro
Sep 12 20:57:09 - named[173]: cache zone "" loaded (serial 0)
Sep 12 20:57:09 - named[173]: primary zone "domain" loaded (serial 1999317)
Sep 12 20:57:09 - named[173]: primary zone "10.in-addr.arpa" loaded (serial 1999317)
Sep 12 20:57:09 - named[173]: primary zone "16.172.in-addr.arpa" loaded (serial 1999317)
Sep 12 20:57:09 - named[173]: primary zone "168.192.in-addr.arpa" loaded (serial 1999317)
Sep 12 20:57:09 - named[173]: primary zone "0.0.127.in-addr.arpa" loaded (serial 1999317)
Sep 12 20:57:09 - named[174]: Ready to answer queries.

pozniej sa jeszcze takie:

Sep 12 20:59:55 - named[174]: sysquery: no addrs found for NS (ns3.hotmail.com)
Sep 12 20:59:55 - named[174]: sysquery: no addrs found for NS (ns4.hotmail.com)
Sep 12 20:59:55 - named[174]: sysquery: no addrs found for NS (ns1.hotmail.com)
Sep 12 20:59:55 - named[174]: sysquery: no addrs found for NS (ns2.hotmail.com)
Sep 12 20:59:55 - named[174]: sysquery: no addrs found for NS (ns3.hotmail.com)
Sep 12 20:59:55 - named[174]: sysquery: no addrs found for NS (ns4.hotmail.com)
Sep 12 20:59:57 - named[174]: sysquery: no addrs found for NS (mx12.hotmail.com)
Sep 12 20:59:57 - named[174]: sysquery: no addrs found for NS (mx13.hotmail.com)
Sep 12 20:59:57 - named[174]: sysquery: no addrs found for NS (mx14.hotmail.com)
Sep 12 20:59:57 - named[174]: sysquery: no addrs found for NS (ns1.hotmail.com)
Sep 12 20:59:57 - named[174]: sysquery: no addrs found for NS (ns2.hotmail.com)
Sep 12 20:59:57 - named[174]: sysquery: no addrs found for NS (ns3.hotmail.com)
Sep 12 20:59:57 - named[174]: sysquery: no addrs found for NS (ns4.hotmail.com)
to tylko kawalek, a jest tego calkiem sporo w ciagu krotkiego czasu...
Autor:  Anonymous [ piątek, 13 września 2002, 11:30 ]
Tytuł: 
mam iptrafa i traffic-visa ale z tego pierwszego niewiele wiem, a drugi wyswietla wuchta roznych innych ip i tez jest kaszana :cry: kurde, ja tylko potrzebuje wiedziec ktory komp i kiedy korzystal z netu...
Autor:  Bolo_B [ piątek, 13 września 2002, 11:53 ]
Tytuł: 
Traffic-vis pokazuje jedynie kto ile ściągnął, ogólnie pokazuje cały ruch w sieci lecz nie pokazuje daty kiedy było ściągane. Jak masz dobrze ustawiony ARP to zobaczysz ile ściągneli (trzeba znaleść ich IP). I to wszystko.
Autor:  Anonymous [ piątek, 13 września 2002, 12:21 ]
Tytuł: 
w hosts.arp mam cos takiego:
# IP MAC
192.168.0.2 00:00:E8:62:66:83
# next komp
192.168.0.3 00:00:B4:C4:D3:8B

rozumiem ze musze wpisac kolejno
ip kompa mac z karty
jeden komp pod drugim, tak jak w przykladzie?
Autor:  Bolo_B [ piątek, 13 września 2002, 14:17 ]
Tytuł: 
Nie dokładnie mi o to chodziło :lol: Jeżeli pakiet arp (no i wpisy ipfwadm)dobrze pilnuje IP'ków w sieci to sie nikt nie podszyje za kogoś. W podsumowaniu traffic-report.html wypisane są wszystkie komputery jakie brały udział w przesyłaniu danych. Najczęściej ci co najwięcej ściągają są na samej górze. Jednak traffic-vis czasami szaleje i źle wypisuje, gubi hostów lub wypisuje 1970 rok :-) Ja mam ustawione na 15 min i najczęściej jak sie sknoci to po 30 min pokazuje poprawnie :lol:
Jak znasz IP kolesi z sieci to napewno będąmieli swojąramke w podsumowaniu i ile ściągneli z jakiego adresu. U mnie działa od 4 dni i wszystko jest ok.oto moje podsumowanie:
http://bobolo.prv.pl/traffic/traffic-report.html
10.1.1.2, 10.1.1.3, 10.1.1.4 to łebki z dostępem do netu a 10.1.1.5 ma dostęp do serwera a odcięty do netu (wysyła ale nie odbiera)
Autor:  Anonymous [ piątek, 13 września 2002, 14:53 ]
Tytuł: 
no fajnie, a jak ustawic te ipfwadm, co? moglbys moze mi napisac zdeka jasniej, bo ja jeszcze nie za bardzo sie w tym wszystkim orientuje i jakis przyklad moze by mi cos tam rozjasnil... :wink:
Autor:  Bolo_B [ piątek, 13 września 2002, 15:23 ]
Tytuł: 
W pliku rc_user znajdujacy się w katalogu /mnt/router/rc mam wpisane:
rc_arp start
ipfwadm -I -i reject -P tcp -W ppp0 -S 0/0 -D 213.76.220.236 81 #blokada 2 www z netu gdzie mam podsumowanie trafiic-vis(w moim przypadku)
ipfwadm -I -i reject -S $NETWORK0/$NETMASK0 #blokada wszystkich adresów z sieci eth0
ipfwadm -I -i accept -S 10.1.1.2 #odblokowanie poszczególnych userów
ipfwadm -I -i accept -S 10.1.1.3
ipfwadm -I -i accept -S 10.1.1.4
należy zachować taką a nie inną kolejność wpisów bo nie zadziała - nikt nie będzie miał internetu.
Oczywiście należy wykonać reboot lub powpisywać każddą komende ręcznie w lini poleceń
życzę miłej zabawy :lol:
Autor:  Bolo_B [ piątek, 13 września 2002, 15:32 ]
Tytuł: 
oczywiście w pliku rc_user musi się znajdować wpis:
. /etc/system.cfg
a wszystkie nowe wpisy muszą być pomiędzy:
if [ "$1" = firewall ]; then
a
exit; fi
Autor:  Anonymous [ piątek, 13 września 2002, 15:49 ]
Tytuł: 
no wlasnie, wlasnie dzieki serdeczne.. a chodzi mi jeszcze o to zeby tylko okresleni userzy mieli dostep do netu (tzn. chce zrobic takie cos zeby zaden inny koles nie podlaczyl sie bez mojej wiedzy) - to wlasnie te wpisy:
Cytuj:
ipfwadm -I -i accept -S 10.1.1.2
ipfwadm -I -i accept -S 10.1.1.3
ipfwadm -I -i accept -S 10.1.1.4

one wystarcza czy potrzeba jeszcze wpisac te numery MAC z kart sieciowych w ARP?
Autor:  Bolo_B [ piątek, 13 września 2002, 16:00 ]
Tytuł: 
wpisy ipfwadm pilnują tylko adresu IP czyli jak jest accept dla 10.1.1.2 to koleś co ma IP 10.1.1.2 ma net. Ale ktoś może sobie wpisać sam adres IP (ukraść go :lol: ) to wtedy działa arp - sprawdza autentyczność MAC z IP jeżeli sie zgadza to puszcza jeżeli nie to odcina do serwera. Oczywiście adresy 10.x.x.x to przykład z mojego kompa, można to tak samo zastosować dla 192.188.x.x lub 172.16-31.x.x to kwestia upodobania jakie IP zastosujemy w podsieci.
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/