PLD Linux Forum Strona Główna PLD Linux Forum
Oficjalne forum dystrybucji PLD Linux

FAQFAQ  SzukajSzukaj  UżytkownicyUżytkownicy  GrupyGrupy
RejestracjaRejestracja  ZalogujZaloguj

Poprzedni temat «» Następny temat
PROBLEM PRAWNY - ODPOWIEDZIALNOSC
Autor Wiadomość
Yasny 

Dołączył: 01 Gru 2006
Posty: 45
Wysłany: 21 Lipiec 2010, 07:55   PROBLEM PRAWNY - ODPOWIEDZIALNOSC

Witam wszystkich. Mam następujący problem i prosiłbym o pomoc w jego rozwiązaniu. Mam sieć jako serwer i router pracuje komp postawiony na PLD 2.0. Niestety mam jeden adres IP zewnętrzny. Około 50 użytkowników wychodzi tym jedynym IP, no i wszędzie się nim prezentuje :( Czasy są takie, że coraz częściej w różnych rodzajach nadużyć, bluzgania na forach jest udowadniana na podstawie adresu i to tego jedynego i nieważne że za nim siedzi 100 userów na adresach np 192.168.1.2 - 100. Umowę mam spisaną na siebie i w razie czego zastukają do moich drzwi :( . A ja Bogu ducha winny człowiek nie jestem wstanie ustalić z jakiego to komputera w sieci został owy niecny czyn wykonany. I tu pada moje pytanie czy mogę jakoś w prosty i czytelny sposób logować takie sprawy i jak by to wyglądało w ewentualnej analizie, by w razie czego dojść szybko co kto i kiedy.

PS : Wiadomo, kiedyś robiło się szybko sieci na DSL'u czy innym dostępie wszystko na jednym IP się to wypuszczało. Teraz świat się zmienił :( Ludzie udzielają się w dyskusjach politycznych, udzielają kontrowersyjnych wypowiedzi na forach, logują się np. na sciagaczek.pl i wszystko wisi na mnie ..... nie wiem jak sprawę ugryźć / dziękuje za wszelkie podpowiedzi /
 
 
pmuch 

Pomógł: 2 razy
Dołączył: 09 Sty 2008
Posty: 50
Wysłany: 21 Lipiec 2010, 13:54   

Ja bym zaczął od postawienia Squida i zablokowania korzystania z www bez niego, a także zablokował wszystkie zewnętrzne proxy, także te przez www
_________________
Skateshop http://sklep.e-street.pl
 
 
bas 


Distro: PLD 2.0;3.0
Pomógł: 199 razy
Dołączył: 06 Lip 2005
Posty: 2305
Skąd: Łódź
Wysłany: 23 Lipiec 2010, 00:30   

Bez przesady, dajesz:
Kod:
iptables -t nat -A POSTROUTING -s X -m limit -j LOG


Gdzie X to np. 192.168.0.0/24.

Z ludkami przecież masz umowy(musisz mieć jasno zaznaczone czyje to IP, najlepiej zapisane w jakimś załączniku do umowy tak, żeby zmiana ip zmieniała tylko załącznik, najlepiej jakby to był podpisany przez abonenta protokół przekazania łącza), więc jak ktoś przychodzi to pokazujesz logi i tyle Cię to obchodzi.
Co do logowania:
1. Odkąd pamiętam logowałem ruch,
2. ISP ma nałożony taki obowiązek przez ustawę(chyba prawo telekomunikacyjne - nie chce mi się szukać).

Pozdrawiam BAS
 
 
 
Yasny 

Dołączył: 01 Gru 2006
Posty: 45
Wysłany: 23 Lipiec 2010, 07:32   

bas, Dziękuje za odpowiedź.

Rozumiem, że wpis wstawiam w /etc/rc.d/rc.local/
Jednak mam pytanie : Gdzie znajdę ten log po dodaniu tego wpisu ?

Odnośnie adresów IP mam przydział "sztywny" w dhcp powiązany z arp więc każdy zawsze dostaje ten sam.

Z góry dziękuje za wszelką pomoc.
Ostatnio zmieniony przez shadzik 23 Lipiec 2010, 15:32, w całości zmieniany 2 razy  
 
 
bas 


Distro: PLD 2.0;3.0
Pomógł: 199 razy
Dołączył: 06 Lip 2005
Posty: 2305
Skąd: Łódź
Wysłany: 23 Lipiec 2010, 10:23   

Yasny napisał/a:
Gdzie znajdę ten log po dodaniu tego wpisu ?


Zależy od konfiguracji sysloga.

Yasny napisał/a:
Odnośnie adresów IP mam przydział "sztywny" w dhcp powiązany z arp więc każdy zawsze dostaje ten sam.


No to jeszcze zrób static-arp.

Pozdrawiam BAS
 
 
 
Yasny 

Dołączył: 01 Gru 2006
Posty: 45
Wysłany: 23 Lipiec 2010, 14:24   

Dziękuje za podpowiedź. Mam jednak pytanie. Jak nazywa się plik który służy do konfiguracji ? Znajduje się w /share/includes/syslog.h ? Jeśli tak to trzeba coś tam dopisać by gdzieś to wszystko było logowane ? Jak tak to jaka to ma być komenda czy dodana linia by wszystko do jednego katalogu to zostało wrzucane.

Z góry dziękuje za wszelką pomoc.
 
 
bas 


Distro: PLD 2.0;3.0
Pomógł: 199 razy
Dołączył: 06 Lip 2005
Posty: 2305
Skąd: Łódź
Wysłany: 23 Lipiec 2010, 14:39   

Yasny napisał/a:
Znajduje się w /share/includes/syslog.h ?

Fe, zabieraj stamtąd łapki...

Przy starcie iptables(nie mam pojęcia gdzie je startujesz) wykonujesz polecenie z mojego pierwszego posta.
Konfigurację sysloga masz tu: /etc/syslog-ng/syslog-ng.conf a opis tu

Pozdrawiam BAS
 
 
 
Yasny 

Dołączył: 01 Gru 2006
Posty: 45
Wysłany: 24 Lipiec 2010, 08:35   

Ok z tego co wyczytałem to plik konfiguracyjny znajduje się :
/etc/syslog-ng/syslog-ng.conf

U mnie wygląda on tak :

Kod:
#
# Syslog-ng example configuration for PLD Linux
#
# Copyright (c) 1999 anonymous
# Copyright (c) 1999 Balazs Scheidler
# $Id: syslog-ng.conf,v 1.20 2005/08/07 16:31:50 jajcus Exp $
#
# Syslog-ng configuration file, compatible with default PLD syslogd
# installation.
#

options { long_hostnames(off); sync(0); owner(root); group(logs); perm(0640); };

source src      { pipe ("/proc/kmsg" log_prefix("kernel: ")); unix-stream("/dev/log"); internal(); };
# uncomment the line below if you want to setup syslog server
#source net     { udp(); };

#destination loghost    { udp("loghost" port(999)); };

destination kern        { file("/var/log/kernel"); };
destination messages    { file("/var/log/messages"); };
destination authlog     { file("/var/log/secure"); };
destination mail        { file("/var/log/maillog"); };
destination uucp        { file("/var/log/spooler"); };

destination debug       { file("/var/log/debug"); };
destination console     { usertty("root"); };
#destination console_all        { file("/dev/tty12"); };

destination xconsole    { pipe("/dev/xconsole"); };

#destination mailinfo   { file("/var/log/mail/info"); };
#destination mailwarn   { file("/var/log/mail/warn"); };
#destination mailerr    { file("/var/log/mail/err"); };

destination newscrit    { file("/var/log/news/news.crit" owner(news) group(news)); };
destination newserr     { file("/var/log/news/news.err" owner(news) group(news)); };
destination newsnotice  { file("/var/log/news/news.notice" owner(news) group(news)); };

destination cron        { file("/var/log/cron" owner(root) group(crontab) perm(0660)); };
destination syslog      { file("/var/log/syslog"); };
destination daemon      { file("/var/log/daemon"); };
destination lpr         { file("/var/log/lpr"); };
destination user        { file("/var/log/user"); };
destination ppp         { file("/var/log/ppp"); };
destination ftp         { file("/var/log/xferlog"); };

# Log iptables messages to separate file
destination iptables    { file("/var/log/iptables"); };

filter f_auth           { facility(auth); };
filter f_authpriv       { facility(auth, authpriv); };
filter f_syslog         { not facility(authpriv, cron, lpr, mail, news); };
filter f_cron           { facility(cron); };
filter f_daemon         { facility(daemon); };
filter f_kern           { facility(kern); };
filter f_lpr            { facility(lpr); };
filter f_mail           { facility(mail); };
filter f_user           { facility(user); };
filter f_uucp           { facility(uucp); };
filter f_ppp            { facility(daemon) and program(pppd) or program(chat); };
filter f_news           { facility(news); };
filter f_ftp            { facility(ftp); };
filter f_messages       { level(info..warn)
                        and not facility(auth, authpriv, cron, lpr, mail, news, daemon); };

filter p_debug          { level(debug); };
filter p_info           { level(info); };
filter p_notice         { level(notice); };
filter p_warn           { level(warn); };
filter p_err            { level(err); };
filter p_alert          { level(alert); };
filter p_crit           { level(crit); };
filter p_emergency      { level(emerg); };

filter f_iptables       { facility(kern) and match("IN=[A-Za-z0-9]* OUT=[A-Za-z0-9]*"); };

log { source(src); filter(f_kern);      destination(kern); };
log { source(src); filter(f_authpriv);  destination(authlog); };
log { source(src); filter(f_syslog);    destination(syslog); };
log { source(src); filter(f_cron);      destination(cron); };
log { source(src); filter(f_daemon);    destination(daemon); };
log { source(src); filter(f_lpr);       destination(lpr); };
log { source(src); filter(f_user);      destination(user); };
log { source(src); filter(f_uucp);      destination(uucp); };
log { source(src); filter(f_messages);  destination(messages); };
log { source(src); filter(f_ppp);       destination(ppp); };
log { source(src); filter(p_debug);     destination(debug); };
log { source(src); filter(p_emergency); destination(console); };
#log { source(src); destination(console_all); };

log { source(src); filter(f_mail);                      destination(mail); };
#log { source(src); filter(f_mail); filter(p_info);     destination(mailinfo); };
#log { source(src); filter(f_mail); filter(p_warn);     destination(mailwarn); };
#log { source(src); filter(f_mail); filter(p_err);      destination(mailerr); };

log { source(src); filter(f_news); filter(p_crit);      destination(uucp); };
log { source(src); filter(f_news); filter(p_crit);      destination(newscrit); };
log { source(src); filter(f_news); filter(p_err);       destination(newserr); };
log { source(src); filter(f_news); filter(p_warn);      destination(newsnotice); };
log { source(src); filter(f_news); filter(p_notice);    destination(newsnotice); };
log { source(src); filter(f_news); filter(p_info);      destination(newsnotice); };
log { source(src); filter(f_news); filter(p_debug);     destination(newsnotice); };
log { source(src); filter(f_ftp);                       destination(ftp); };

#log { source(src); filter(f_iptables); destination(iptables); };

#  This is a catchall statement, and should catch all messages which were not
#  accepted any of the previous statements.
#log { source(src); filter(DEFAULT); destination(syslog); };


Co muszę tu wpisać by pojawiał się plik jako LOG z którego będzie można odczytać poczynania uzytkownikow (w razie ewentualnej draki) i gdzie go znajdę ?

Linię która została podana

Kod:
iptables -t nat -A POSTROUTING -s X -m limit -j LOG


wstawiłem do /etc/rc.d/rc.local

Za wszelką podpowiedź z góry dziękuję i pozdrawiam.
 
 
svl 
paweld


Pomógł: 115 razy
Dołączył: 19 Lis 2006
Posty: 1038
Skąd: Toruń
Wysłany: 24 Lipiec 2010, 11:39   

Yasny napisał/a:
# Log iptables messages to separate file
destination iptables { file("/var/log/iptables"); };
_________________
God, root, what is difference?
 
 
Yasny 

Dołączył: 01 Gru 2006
Posty: 45
Wysłany: 24 Lipiec 2010, 14:26   

Witaj svl, jak zacytowałeś i widać na załączonym obrazku poprawny mam wpis w pliku konfiguracyjnym.
W /etc/rc.d/rc.local , podany przez bas, mam wpis :

Kod:
iptables -t nat -A POSTROUTING -s 192.168.50.0/24 -m limit -j LOG


Widać jaką pulę przydzielam i nic nie pojawia mi się w /var/log/ o nazwie iptables.

Czy możecie mi jakoś łopatologicznie napisać co gdzie mam wpisać by pojawił się katalog z logami, a w nim plik surfowania użytkowników ?

Za wszelką podpowiedź z góry dziękuję i pozdrawiam.
 
 
KrystianT 

Distro: PLD 3.0
Pomógł: 189 razy
Dołączył: 26 Paź 2005
Posty: 1920
Skąd: Kamionek
Wysłany: 24 Lipiec 2010, 16:18   

bas napisał/a:
Przy starcie iptables(nie mam pojęcia gdzie je startujesz) wykonujesz polecenie z mojego pierwszego posta.
Jeżeli masz około 50 użytkowników to gdzieś musisz im robić (prawdopodobnie) translację adresów na twój zewnętrzny. Nikt oprócz ciebie na razie nie wie jak to robisz więc trudno konkretnie doradzić dopuki nie podasz konkretów - może podany przez basa wpis koliduje z twoim NATem?
Bas podał też link do opisu sysloga, a tam czytamy:
Cytat:
Konfiguracja demona polega na zdefiniowaniu pewnych obiektów, a na następnie połączenie ich ze sobą w reguły. Mamy trzy rodzaje obiektów: źródła, filtry i cele. Źródła wskazują miejsca pochodzenia komunikatów, filtry pozwalają selekcjonować dane, cele zaś wskazują sposób i miejsce magazynowania logów

Odpowiednie fragmenty twojego pliku wyglądają tak:
Kod:
...
source src      { pipe ("/proc/kmsg" log_prefix("kernel: ")); unix-stream("/dev/log"); internal(); };
...
destination iptables    { file("/var/log/iptables"); };
...
filter f_iptables       { facility(kern) and match("IN=[A-Za-z0-9]* OUT=[A-Za-z0-9]*"); };
...
#log { source(src); filter(f_iptables); destination(iptables); };
Się nie znam na tym, ale wygląda, że źródło jest, cel również, nawet jakiś filter a na koniec coś dotyczącego iptables jest zakomentowane :shock: W opisie z linka podanego przez basa nazwali to regółką i wydaje mi się, że powinno być odkomentowane żeby logi iptables mogły być zapisywane przez sysloga...
Wydaje mi się również, że nie czytałeś tamtego opisu, bo pytasz o rzeczy tam opisane, a svl odpowiedział na pytanie
Yasny napisał/a:
i gdzie go znajdę ?
_________________
Krystian T.
"Errare humanum est."
 
 
Yasny 

Dołączył: 01 Gru 2006
Posty: 45
Wysłany: 25 Lipiec 2010, 06:09   

KrystianT napisał/a:
Jeżeli masz okolo 50 uzytkowników to gdzies musisz im robic (prawdopodobnie) translacje adresów na twój zewnętrzny. Nikt oprócz ciebie na razie nie wie jak to robisz wiec trudno konkretnie doradzic dopuki nie podasz konkretów


Wiec tak robie to za pomoca /etc/rc.d/masq zawiera :

Kod:
iptables -F
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -i eth0 -o ra0 -s 192.168.50.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -A FORWARD -i ra0 -o eth0 -s 0/0 -d 192.168.50.0/255.255.255.0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.50.0/255.255.255.0 -d 0/0 -j MASQUERADE


Karty sieciowe skonfigurowane sa w :

Kod:
/etc/sysconfig/interfaces/
i odpowiednio wpisy w tych plikach przydzielone tam adresy IP w plikach :

ifcfg-eth0 - adres zewnetrzny IPADDR=83.13.12.15/29
ifcfg-eth1 - adres wewnetrzny IPADDR=192.168.50.1/24

Oraz wpis w /etc/rc.d/rc.local (pokazanie drogi):

Kod:
route add default gw 83.13.12.14 dev eth0


Odpowiednio : 83.13.12.14 - adres modemu , 83.13.12.15 - adres karty sieciowej eth0 , 192.168.50.1 - adres karty sieciowej w sieci wewnetrznej. Kolejne adresy 192.168.50.2 .... to uzytkownicy.

Mam nadzieję, że trochę to pomoże bym w końcu zaczal logowac co dzieje sie w ruchu wychodzacym by jak ktos nabluzga na jakims forum czy co gorsza sciagnie jakies aktualizacje na piracki program czy zarejestruje sie na sciagaczek.pl i tam cos zassie nie bedzie wszystko na mnie i bedzie mozna wyfiltrowac z jakiego IP wewnetrznego to polaczenie nastapilo i o ktorej.

Za wszelkie podpowiedzi dziekuje.
 
 
KrystianT 

Distro: PLD 3.0
Pomógł: 189 razy
Dołączył: 26 Paź 2005
Posty: 1920
Skąd: Kamionek
Wysłany: 25 Lipiec 2010, 11:49   

Na moje oko linijka od basa powinna być między tymi dwoma
Kod:
iptables -A FORWARD -i ra0 -o eth0 -s 0/0 -d 192.168.50.0/255.255.255.0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.50.0/255.255.255.0 -d 0/0 -j MASQUERADE
Jeżeli nie będzie w tym pliku to zależnie od tego czy rc.local wykonywane jest wcześniej czy później niż masq będzie wykonywany albo przed czyszczeniem tabel, albo po maskaradzie i efektów brak.
_________________
Krystian T.
"Errare humanum est."
 
 
Yasny 

Dołączył: 01 Gru 2006
Posty: 45
Wysłany: 25 Lipiec 2010, 14:11   

KrystianT napisał/a:
Jezeli nie bedzie w tym pliku to zaleznie od tego czy rc.local wykonywane jest wczesniej czy póoniej niz masq bedzie wykonywany albo przed czyszczeniem tabel, albo po maskaradzie i efektów brak.


Ok , ale skoro ja rowniez wpisuje to po wystartowaniu wszystkiego czyli serwer chodzi i wpisuje komende i naciskam ENTER - przyjmuje ja i nie wyrzuca zadnego bledu.
Tak to wyglada :

Kod:
[root@SERVER ~]# iptables -t nat -A POSTROUTING -s 192.168.50.0/24 -m limit -j LOG
[root@SERVER ~]#


To chyba nie ma znaczenia, że jest uruchomione za pozno bo uruchomione jest ostatnie po masqradzie ..., ale oczywiscie dodalem wpis w proponowanym miejscu. Zaczekam troche moze cos zaloguje.

Dalej prosze o jakiekolwiek podpowiedzi i za wszelkie dziekuje.

.
 
 
KrystianT 

Distro: PLD 3.0
Pomógł: 189 razy
Dołączył: 26 Paź 2005
Posty: 1920
Skąd: Kamionek
Wysłany: 25 Lipiec 2010, 22:46   

Yasny napisał/a:
To chyba nie ma znaczenia, że jest uruchomione za pozno bo uruchomione jest ostatnie po masqradzie
Właśnie ja mam wrażenie, że kolejność ma znaczenie. Maskarada zmienia w pakietach adres źródłowy na 83.13.12.15 i pakiety lecą w świat...
_________________
Krystian T.
"Errare humanum est."
 
 
Wyświetl posty z ostatnich:   
Odpowiedz do tematu
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Powered by phpBB modified by Przemo © 2003 phpBB Group