Re: [ml] log iptables

On 8/11/06, jgkj lbllkj <syrkeope@xxxxxxxx> wrote:
>
[...]
> > Io ho realizzato una soluzione simile patchando
> > netfilter con
> > l'Application Layer Packet Classifier for Linux:
> >
> > http://l7-filter.sourceforge.net/
> >
>
> Avevo pensato anch' io a questa soluzione ma mi sono
> reso conto che la rete sulla quale andra' implementato
>
> il firewall non e' utilizzata da diciamo "smanettoni"
> per cui L7 , che credo appesantisca particolarmente il
> server, ho ritenuto fosse una soluzione esagerata.

Non sono d'accordo, è meno pesante di uno stateful firewall qualsiasi.

Inoltre, di per sé iptables non può fare quello che cerchi - forse mi
sono spiegato male. La patch layer 7 ti serve unicamente per
redirigere il traffico in modo trasparente verso un proxy. Esistono
diverse interfacce per Squid, per esemio, anche web.


> La
> necessita del mio cliente risulta essere la
> possibilita' di visualizzare in qualsisasi momento i
> siti internet navigati dagli utenti della lan quindi
> verso la porta 80 standard (traffico http).
> Stavo pensando di installare ntop sul server in
> ascolto
> sull'eth interna (lan) che cosa ne pensate?

Che cosa te ne fai di ntop? finirai per costruirti un accrocchio molto
meno "usabile" di una interfaccia per Squid. Se uno non sa guardare
una interfaccia web, che cosa se ne fa di un terminale che fa girare
ntop? oltretutto, ti troverai con lo stesso problema: come filtri
quello che ti riporta ntop? senza un filtro stateful, puoi soltanto
cercare le connessioni verso la porta 80 o 443, ma ti perdi tutte le
connessioni che vanno su altre porte...

Comunque penso che la questione ti sia stata illustrata a sufficienza,
quindi non ho altro da aggiungere :-)


Cordiali saluti
--
Marco Ermini
Dubium sapientiae initium. (Descartes)
root@human # mount -t life -o ro /dev/dna /genetic/research
http://www.markoer.org/ - https://www.linkedin.com/in/marcoermini