TIB5651Tr yazılımı (Static-Dynamic-Elle girilen kayıt dışı IP Raporlama)
-
Merhaba Arkadaşlar
PFsense 2.1 Release (i386)
Cron 0.1.8
Squid 2.7.9 Pkg v 4.3.3
SquidGuard 1.4_4 pkg 1.9.5 versiyonlarında yazılm sorunsuz ben de çalışıyor. Elbette diğer uzman arkadaşlarımızın söylediği gibi 2.0.3 versiyonunda çalışmak PFsense üzerinde daha geniş uygulamalar yapanlar için doğru bir versiyondur.Bende Bu versiyonu kullanmaya başlayacağım ancak Squid3 denemelerini ve HTTPS kayıtlarının durumlarını kontrol ettikten sonra :D
Gelelim DJFUNS hiçbir log alamıyorum mesajına;
a Tib5651_Yasal/UserLog/192.168.2.75
a Tib5651_Yasal/UserLog/192.168.2.105 ve devamı acces.log dosyası analizinde kullanıcı loglarının UserLog dizini oluşturulup bu dizin içerisine IP numaralarına göre ayrıştırılan loglardır. Dolayısı ile access.log dosyasında log var ki bu bilgiler oluşmakta.
/libexec/ld-elf.so.1: /usr/local/lib/libiconv.so.3: unsupported file layout böyle bir hata ile hiç karşılaşmadım ve bir anlamda veremedim. Tabiki bu elinizdeki verilerin içeriğini görmediğimden. Üzgünüm, belki sistemsel bir kurulum hatası da olabilir.
Önceki sayfalarda loglarla ilgili verilen bilgi ve resimler bulabilir faydalanabilirsiniz.Selam ve Sevgilerimle
Bülent ÖZKAN -
ben karşılaştım. Bende oluşturdugu conver sonrasi dosya adında tarihsaat.txt olmasi gerekirken boşluknoktatxtboşluk olarak oluşturdu. O da gecici dosya klasorunde kaliyor sonra silinmiyor. Elle silmek gerekiyor. Dolayisiyla windiwsa da atmiyor. Anladigim kadari ile tallok 2.0.8 kaynakli.
-
Bülent bey merhabalar dosyanızı indirmeye çalşıtım ancak hotfile de usa dışındaysanız diye başlayan birşeyler yazıyor dosya indirme sayfası açılmıyor acaba başka bir yere upload edebilri misiniz
-
Bülent bey merhabalar dosyanızı indirmeye çalşıtım ancak hotfile de usa dışındaysanız diye başlayan birşeyler yazıyor dosya indirme sayfası açılmıyor acaba başka bir yere upload edebilri misiniz
Dosyalar bende var. Ilerleyen saatlerde bilgisayar basina gecebilirim. Eger bulamamissaniz paylasirim. Bulursaniz soylersiniz
-
2.1 için uygun paketlerle ilgili mesaj için bakınız : http://forum.pfsense.org/index.php/topic,70877.msg387566.html#msg387566
-
Ayarlardan time zone asia İstanbul seçilmelidir. Forumda yazılmıştı. Yoksa bu zaman farkı oluyor.
Ekleme…
Log saatlerinde, genel ayarlardan zaman saat dilimini İstanbul ayarlamama rağmen saatler 2 saat geriden log lamakta. Log larda zaman dilimi yugulanmıyormu? Yada başka bir ayar mı var?
Mesela yedekleme saati olan 23:45 yerine 01;45 de gerçekleşiyor..
arkadaşlar yazılan hata nın time zone olarak istanbul seçilmesinden ziyade nerede olduğunu hatırlamadığım (ve şu an için aktif bit pfsens kurulumum olmadığı için kotrol edemediğim) bir yerdeki "log zamanlaması için lokal saati kullan " seçeneğinin aktif olmaması olduğunu farkettim. Detayını üstadlar ekleyebilir.
-
Merhaba Arkadaşlar
Yıl başı nedenleri ile forma pek bakamadım.Özür dilerim.
tuzsuzdeli ve diğer arkaşlarıma destekleri için teşekkür ederim.
Haklısınız Hotfile kapanmış hemde kalıcı olarak (internetten edindiğim bilgi bu).
Yeni bir server buluncaya kadar Tuzsuzdeli arkadaşımın önerilerinden faydalanmanız doğru olacaktır.Selam ve Sevgilerimle
Bülent Özkan -
-
teşekkürler bülent bey
-
Herşeyden önce Bülent Bey'e bir teşekkür etmek istedim.
Şöyle bir durumla karşılaşıyorum. SSH ile bağlanıp ARPrun'ı çalıştırdığımda TibDailyControl altında 4 dosya da oluşuyor. Yalnız cron ARPrun'ı çalıştırdığında sadece Arp.lst dosyası oluşuyor. Tahminen bir yetki hatası diye düşünüyorum ama nereden kaynaklı olduğunu çıkartamadım.
Böyle bir durum yaşayan oldu mu acaba?
-
Merhaba arkadaşlar,
Balığa gitmiştim. Cevaplamada geciktim kusura bakmayın.
Sevgili dnzz dediğin gibi 4 adet dosya oluşturacak sorun yok.
Arp.lst
Arp_Daily.log
Dhcpleases.lst
Dhcpleases.log:D
-
arkadaslar 5651 kanununa göre aşağıdaki durumda olan birisi ne yapmalı?
dhcp serverde otomatik degil statik olarak ip veriyorum.
otomatik ip verme kapalı.
her ip verdigim kişiyi GERÇEK IP adresiyle dışarı çıkarıyorum.mesela 192.168.1.2 olan ip 88.88.88.2
192.168.1.3 olan ip 88.88.88.3
192.168.1.4 olan ip 88.88.88.4
192.168.1.5 olan ip 88.88.88.5
192.168.1.6 olan ip 88.88.88.6vb…
mantıken dhcp logu pek bişey teşkil etmiyor zira ben mesela 192.168.1.5 ip alan kişinin dışarı çıktıgı ip adresini elle istedigim gibi değiştirebiliyorum.
saygılarımla.
-
arkadaslar 5651 kanununa göre aşağıdaki durumda olan birisi ne yapmalı?
dhcp serverde otomatik degil statik olarak ip veriyorum.
otomatik ip verme kapalı.
her ip verdigim kişiyi GERÇEK IP adresiyle dışarı çıkarıyorum.mesela 192.168.1.2 olan ip 88.88.88.2
192.168.1.3 olan ip 88.88.88.3
192.168.1.4 olan ip 88.88.88.4
192.168.1.5 olan ip 88.88.88.5
192.168.1.6 olan ip 88.88.88.6vb…
mantıken dhcp logu pek bişey teşkil etmiyor zira ben mesela 192.168.1.5 ip alan kişinin dışarı çıktıgı ip adresini elle istedigim gibi değiştirebiliyorum.
saygılarımla.
Hocam sizde bu kayıtları log layacaksınız o zaman. Burada resmi olarak istenene şey sizin bildiğiniz eğil. mevcut durum kaydını "resmi" olarak zaman damgası ile sunulacak halidir. Sizin bu zaman damgasız sabitlenmiş bile olsa kayıtlarınız bir geçerlilik ifade etmeyecek.
Durum itibari ile bu erişim kayıtlarını imzalatarak saklamanız gerekecek.saygılar.
-
Oncelikle Bülent Bey'e bu harika calismasi icin sonsuz ve samimi tesekkurlerimle,
sistemi test ettim gayet guzel calisiyor,
paket kurulumlarini asagidaki postta verilen linklere göre yaptim.
https://forum.pfsense.org/index.php/topic,70877.msg387566.html#msg387566Burda ilave etmek istediğim 3 nokta var;
1-Samba paylasimi ile ilgili;
–-------------------------------------------------------------
kurulumun anlatildiği word dosyasinda log dosyalarinin kopyalanacagi bilgisayarda paylasilmis klasorlere everyone icin full control verilmis tabi bu rahatsiz etti
Windows 7 oldugu icin word dosyasinda asagidaki gibi verilen samba linklerini;/usr/local/bin/smbclient \\\\xxx.xxx.xxx.xxx\\TIB5651log_BKP -U windowsbilgisayaradi%"sifresi" -W -N -c "prompt; put Tib5651LogAdmin-$tarih.tar.gz" Ve /usr/local/bin/smbclient \\\\ xxx.xxx.xxx.xxx\\TIB5651log_TMP -U windowsbilgisayaradi%" sifresi " -W -N -c "prompt; put Tib5651LogImza-$tarih.tar.gz" Satırlarında; xxx.xxx.xxx.xxx : Windows bilgisayarınızın IP nosu windowsbilgisayaradi : Windows sistem özelliklerindeki Tam bilgisayar adını sifresi : Windows bilgisayarınızın şifresi (Bilgisayarınızda Şifre olmak zorunda)bilgisayaradi kismini user_name olarak degistirdim.Boylece everyone-full control'un ortaya cikarttigi zaafiyetten kurtulmus olundu.
calisan .. dosyam;/usr/local/bin/smbclient \\\\192.168.2.20\\TIB5651log_BKP -U user%"eml4535" -W -N -c "prompt; put Tib5651LogAdmin-$tarih.tar.gz" tar -zcvf Tib5651LogImza-$tarih.tar.gz Tib5651_Yasal/ /usr/local/bin/smbclient \\\\192.168.2.20\\TIB5651log_TMP -U user%"eml4535" -W -N -c "prompt; put Tib5651LogImza-$tarih.tar.gz"user burda kullanici adi,siz sizdeki kullanici adiyla degisebilirsiniz.
tabi o kullaniciya full-control yetkisi vermek lazim.2.squid ve squidquard zorunluluğu;
–----------------------------------------------------------
Haliyle sistem bunlar olmadan calismiyor..
Proxy güzel harika,sirf windows updateleri cache'lemek icin bile kurulur,
ne yazikki Traffic Shapper ile duzgun calismiyor..
benim aktif sistemim 3 WAN ve 1 LAN (150 kullanici) seklinde ve Traffic Shapper uzerinden gitmeyi dusunuyordum, loglama icin proxy sarti tabi olayi biraz degistirecek
genede en kisa zamanda buna vmware makina hazirlayip gercek ortamda testi yapmayi dusunuyorum.sabit konularda selimakpinar'in yazdigi dhcp leases uzerinden giden bir cozum var.
onuda denedim ama leases dosyasindaki farkliliklar nedeniyle tam calismadi, python yazmayi ogrenip 1-2 hafta icinde selimakpinar dan once davranabilirsem :)
o betigi duzeltmeyi hedefliyorum.3-arp olayi.
arp guzel iyi, sistem elle girilen ipleri -yanlışım varsa duzeltin- arp ile ogreniyor
ama gene bana ozel bir durum ortaya cikiyor,
networkde bridge modda point to point calisan wireless cihazlar ve arkasinda bir ton makina var tabi bunlar hikayeyi nasil degistirecek,
arp orda nasil ates edicek pek umutlu degilim ama ..
canli sistemde testi yapinca yazarım.kolayliklar..
-
bende dhcp loglarını alıyorum
hiç bir paket'e gerek duymadan ftp olarak istediğim yere gönderiyorum ya da paylaşıma forumda konusu var
0 kurulmuş sisteme 3 dosya atıp direk çalışır hale getirebilirsin
kolay gelsin
-
Merhaba arkadaşlar
Sevgili Şevket Keser arkadaşım sizlere yardımcı olabildiysem ne mutlu bana. Ben de hepinize gösterdiğiniz ilgi ve alakadan dolayı teşekkür ederim.
everyone kullanıcısı yerine farklı bir kullanıcı ile de yetkilendirme yapabilirsiniz. Bu açıklama yerinde olmuş.
Arp meselesine gelince; internete çıkan kullanıcıları tespitlemek de dolayısı ile sistem yöneticisinin kullanıcıya tahsis ettiği ip dışında bir ip ile kullanıcın internete çıkması halinde bile arpın analiz edilmesi ile kullanıcın farklı bir ip ile interneti kullandığının tespitlenmesi mümkün hale gelmekte (Elle girilen Ip olayı). Benim sistem yapımda point to point yok sadece Access point var ancak tahmin ediyorum ki her ne şekilde olursa olsun kullanıcı hangi yollar gelirse gelsin PFSense sisteminden geçerken bir iz bırakacak ve arp'ında bunu tespitleyeceği kanaatindeyim.
Benim için esas olan iki konu var ki bunlar bana göre çok önemli paylaşmak isterim.
Squid http sitelerini logluyor. OK https siteleri ve mail çıkış-giriş logları yok. Oysa daha önce kullandığım basit sadece proxy özelliği olan bir yazılımda örneğin mail durumunu da logluyordu. Yani kullanıcın saat kaçta hangi mail servisinden mail aldığını veya hangi mail servisine mail atıığının loğlarını da görebiliyordum. PFSense de böyle bir özellik varsa ben bilmiyorum. Umarım bu konularda da ilerleyen zamanda ek yazılımlar çıkar.
Not. Kullanıcın ne mail attığını veya ne geldiğini görmüyordum. İçerik gizli sadece mail serverların kullanıldığı saat-tarih bazında loğunu alıyordum.
Bilişimciler https sitelerini de http de olduğu gibi filtrelemek istemekte. Umarım bu sıkıntılar ilerleyen süreçte çözüme kavuşur.Selam ve Sergilerimle
Bülent ÖZKAN -
evet bu konuda bende katılıyorum
squid sadece http trafiğini loglar
ama üstünden geçen tüm trafiği loglayacak bir squid ya da başka birşey lazım
80, 110 , 25 , 23, 995, 443, 3389, vs vs
bunlar mail smtp telnet ssl rdp portları kişi bunlar üstünden trafik oluşturduğunda bunlarıda loglayabilirsek çok güzel olur :)
-
Merhabalar,
kurulumlarım ve loglamalarım sorunsuz çalışıyor ancak aklıma takılan bir nokta var. Bizim logladığımız kayıtlar local için ip ler ve mac adresleri web içinse ip ve adresleri.
Burada gelgeç bir yere (cafe) veya bir öğrenci yurduna (ki ben kuruyorum) kullandığımızda mac adresleri ne kadar işimize yarayacak? Kullanıcı adı ve mac ilişkilendirmesi kurabileceğimiz bir yöntem var mdıır? Ki ayrıca asıl aradığım cevap aynı makina ile farklı kullanıcılar çalıştığında makinanın IP bazlı loglarının hangi kullanıcının olduğunu nereden anlayabiliriz?
-
Merhaba arkadaşlar
Evet fotocum internet çıkış logları IPve MAC bazında
MAC adreslerini TIB istemekte. Halka açık yerlerde aynı ip nosunu birden fazla kimse dhcp ile alsa da mac farklı olacaktır biliyorsun bu ayrımı yapmak için.
Kullanıcı adı ile mac ilişkilendirme yapabilirsin. PFSEnse DHCP server da mac adresine dayalı ıp numarası atayabilirsin ve buraya description alanına tanımlayıcı bilgi girebilirsin.
Esas amacın aynı makinayı birden fazla kimse kullanıyorsa bu biraz zorlayıcı.
1-Eğer kullanıcılar vardiya usulü ile çalışıyorsa bunda sorun kalmaz her kişinin çalışma saatleri bellidir.
2-Kullanıcılar gün içinde ortaklaşa kullanıyorlarsa bunu ayırman loglama açısından biraz zor. neredeyse imkansız.Selam ve Sevgilerimle
Bülent ÖZKAN -
yok BULO üstad arkadaşlar "lan işin varmı makinada?" diyip oturuyorlar birirlerinin laptplarının başına. Bu yüzden siisteme giren mac adresinin yanında kullanıcı adınıda loglamam daha mantıklı olacak. Zaten yönetiminde bu yönde talebi var. "Biz hangi mac kimin bilemeyiz ki" diyorlar. bende "özel yaşama müdahale etmeyin" diyip topu taç a yolluyorum. Ama bu soruna bir çare bulmam gerekecek.
yada aslında şimdi aklıma gelen birşey oturumları da loglatsak nasıl olur?? Evet loglamayı bizim işimize yarayan hale çevirebilen arkadaşlar aynı log dosyalarının içinden radius kullanıcı kontrollerini veya captiva portal oturumlarını da görebiliyor olmaları lazım. mutlaka bunlarda loglanıyordur.
