LOGs de regras de NAT
-
Boas pessoal… é possível fazer LOG das regras de NAT ??? ??? ???
tenho a v2.0.3um abraço
-
Sim, é possível. :P
-
Sim, é possível. :P
como é possível se quando se cria uma regra não existe a opção para meter o V para se fazer o log?! :-\
-
-
Sim, é possível. :P
como é possível se quando se cria uma regra não existe a opção para meter o V para se fazer o log?! :-\
Meter o V? Essa foi boa! :o
Criou a regra de Nat? Foi verificar a regra criada deste NAT, seja na Wan, seja na Lan? ???
A opção de Log está lá. :D :-*penso que quando disse meter o V deu para perceber perfeitamente… anyway... na minha regra de NAT nao aparece log... pelo menos não no mesmo sitio que as regras normal de FW
-
Já disse antes… Vá verificar a Regra Criada pelo Nat. Tá difícil? Será que vou ter que colocar uma cópia de tela (print)? ::)
-
Já disse antes… Vá verificar a Regra Criada pelo Nat. Tá difícil? Será que vou ter que colocar uma cópia de tela (print)? ::)
o que tem a regra criada depois?!
é que se não for isto que te referes, entao não faço ideia do que seja… ??? ??? ??? ??? ???
-
Akill, atendimento homeopático é assim mesmo. ;)
Entra na sua regra criada pelo Nat, em modo de edição, e marca a caixa "Log packets that are handled by this rule".
Segue print:
-
Akill, atendimento homeopático é assim mesmo. ;)
Entra na sua regra criada pelo Nat, em modo de edição, e marca a caixa "Log packets that are handled by this rule".
Segue print:johnnybe acredito que sejas uma pessoa com muita paciencia, mas eu quando criei essa regra no menu NAT, separador outbound, que está atribuida à interface WAN, nao me criou nenhuma outra regra no menu rules no separador WAN. Presumo que esse teu print Screen seja duma regra que tenha sido criada no NAT de 1:1 que automaticamente cria a regra no rules
ou será que continuo a ver isto errado?!
-
E você disse que era Outbound antes? ::)
Esta regra na Wan, com Logs que mostrei anteriormente, é originada de Nat Port Forward. Será mesmo que esta Nat Outbound não tem nenhuma regra associada na sua Lan?
Só agora me atentei aos seus detalhes da cópia de tela… Trata-se de outra interface, para Wireless?Por hoje me basta. Estou cansado, me desculpe. Talvez alguém mais ajude. :)
-
E você disse que era Outbound antes? ::)
quanto a isso tens toda a razão…
Esta regra na Wan, com Logs que mostrei anteriormente, é originada de Nat Port Forward. Será mesmo que esta Nat Outbound não tem nenhuma regra associada na sua Lan?
que eu veja não… sou mt noob ;D no pfsense... basicamente o que quero fazer é identico ao POSTROUTING com MASQUERADE em iptables :D para um range aleatório de IP's... mas tem de fazer LOG :D penso que seja no outbound NAT no pfsense.
eu portugal eu não posso guardar os registos dos meus utilizadores, porque é uma questão de privacidade. está na lei bahhh
a unica maneira de ter o controlo, para necessidade de identificar o utilizador de acessos indevidos à internet é através de LOG's do NAT do IP privado para IP publico. Já tive esta converça aqui no forum sobre isto, e ja vi que em Portugal é diferente do Brazil. Voces ai guardam todos os registos por exemplo com a ajuda da ferramenta SARG. Em Portugal quem tem armazenado esse tipo de registo é punível por lei. Dai eu necessitar de guardar esses LOG'se desculpa lá uma vez mais este desentendimento :P
-
O que é proibido armazenar em portugal? logs da camada 7 ou da camada 4 inclusive?
Você pode logar que o ip 192.168.1.10:porta_cliente acessou 189.6.76.143:porta_servidor?
Se sim, basta habilitar o log nas regras de firewall como o johnnybe mostrou.
O sarg guarda o acesso na camada de aplicação onde você consegue ver que 192.168.1.10(ou seu usuário) acessou o www.youtube.com
-
O que é proibido armazenar em portugal? logs da camada 7 ou da camada 4 inclusive?
Você pode logar que o ip 192.168.1.10:porta_cliente acessou 189.6.76.143:porta_servidor?
Se sim, basta habilitar o log nas regras de firewall como o johnnybe mostrou.
O sarg guarda o acesso na camada de aplicação onde você consegue ver que 192.168.1.10(ou seu usuário) acessou o www.youtube.com
boas
em Portugal não podemos armazenar dados. Quem tem curiosidade http://www.anacom.pt/render.jsp?contentId=952169
de qualquer maneira passo o mais importante:
2 - A conservação de dados que revelem o conteúdo das comunicações é proibida, sem prejuízo do disposto na Lei n.º 41/2004, de 18 de Agosto, e na legislação processual penal relativamente à intercepção e gravação de comunicações.1 - Para efeitos da presente lei, entende-se por:
a) «Dados», os dados de tráfego e os dados de localização, bem como os dados conexos necessários para identificar o assinante ou o utilizador
Assim sendo em Portugal, as instituições (faculdades, bibliotecas municipais) tem uma pool de IP's publicos, no qual quando o utilizador vai á internet é feito o NAT do IP privado para o IP publico, e é guardado apenas esse NAT. Se um dia mais tarde foi necessário identificar o que é que o IP publico atribuido ao utilizador fez é facil pelo LOG do NAT.
No PFSense até agora ainda não descobri como guardar os LOG's da NAT outbound
marcelloc o que johnnybe mostrou, foi o LOG de uma regra de port_forward. Que nao me permite mascarar o IP privado para o IP publico.
que eu veja não… sou mt noob no pfsense... basicamente o que quero fazer é identico ao POSTROUTING com MASQUERADE em iptables para um range aleatório de IP's... mas tem de fazer LOG penso que seja no outbound NAT no pfsense.
-
Sim, é possível. :P
como é possível se quando se cria uma regra não existe a opção para meter o V para se fazer o log?! :-\
Meter o V? Essa foi boa! :o
…penso que quando disse meter o V deu para perceber perfeitamente…
Deu para entender, sim. Voltei a este ponto para fazer apenas uma observação.
Durante muito tempo este fórum em Português teve a participação apenas de Brasileiros, praticamente.
Andei notando a presença de Portugueses, ou de outra origem que tenha a língua Portuguesa como principal, pela maneira de escrever e pelo uso de expressões que nós Brazucas não estamos acostumados.Sendo assim, gostaria de dar as Boas-Vindas a todos Portugueses, ou de origem diversa, que participam deste fórum.
Editado: Abri um tópico sobre isto.
-
de qualquer maneira passo o mais importante:
2 - A conservação de dados que revelem o conteúdo das comunicações é proibida, sem prejuízo do disposto na Lei n.º 41/2004, de 18 de Agosto, e na legislação processual penal relativamente à intercepção e gravação de comunicações.1 - Para efeitos da presente lei, entende-se por:
a) «Dados», os dados de tráfego e os dados de localização, bem como os dados conexos necessários para identificar o assinante ou o utilizador
Assim sendo em Portugal, as instituições (faculdades, bibliotecas municipais) tem uma pool de IP's publicos, no qual quando o utilizador vai á internet é feito o NAT do IP privado para o IP publico, e é guardado apenas esse NAT. Se um dia mais tarde foi necessário identificar o que é que o IP publico atribuido ao utilizador fez é facil pelo LOG do NAT.
Akill, meu entendimento nestes pontos é outro, especificamente neste:
A conservação de dados que revelem o conteúdo das comunicações é proibidaConteúdo entendo por printscreen ou código html da página acessada(camada 7) e no caso de ligações, o audio com a conversa.
Informação de ip e porta(camada 4) não é conteúdo. Não sei nem se a url pode ser interpretada como conteúdo.
Se a lei em questão for aplicada da forma que você diz, as operadores de celular sequer podem cobrar os clientes, uma vez que não podem registrar quem ligou pra quem. Gravações de conversas telefônicas e log de acesso a internet e/ou emails aqui no Brasil também só podem ser solicitadas pela Justiça.
Alguns exemplos que podem impossibilitar o trabalho de um analista e segurança em Portugal:
-
Não posso habilitar o log de acesso do servidor web, porque seria capaz de identificar quem acessou/tentou invadir meu site
-
Não posso filtrar spams, porque estaria analisando o cabeçalho e o conteúdo de um email.
-
Não posso usar um ids porque estaria analisando e logando tentativar de ataque
-
Não posso usar um ips porque estaria invadindo a privacidade do invasor
-
Não posso fazer cache de navegação porque estaria usando um único ip de saída.
Entende meu ponto de vista? Esta interpretação pode gerar até bloqueio de acesso a redes/sites para ips de portugal, uma vez que "a lei impede o registro de acesso" e consequentemente o rastreamento.
Uma dúvida: Como você bloqueia acesso ao youtube por exemplo para um usuário que está consumindo muita banda sem analisar os logs? ???
att,
Marcello Coutinho -
-
Deu para entender, sim. Voltei a este ponto para fazer apenas uma observação.
Durante muito tempo este fórum em Português teve a participação apenas de Brasileiros, praticamente.
Andei notando a presença de Portugueses, ou de outra origem que tenha a língua Portuguesa como principal, pela maneira de escrever e pelo uso de expressões que nós Brazucas não estamos acostumados.Sendo assim, gostaria de dar as Boas-Vindas a todos Portugueses, ou de origem diversa, que participam deste fórum.
Editado: Abri um tópico sobre isto.
:D na minha opinião, em Portugal estamos a mudar um pouco a nossa filosofia… Normalmente as empresas compram e contratam determinados serviços ou equipamentos que fazem as mesmas funções que o pfsense, e outros Sistema Operativo open Source. Nestes últimos tempos, os proprios funcionarios andam a implementar este tipo de Sistema Operativo nas suas próprias empresas devidos a ser de custos baixos.
Está muit a acontecer com o SO da Microsoft... as empresas estão a pouco e pouco a mudar tudo para Linux, o mesmo com o Office para openOffice, software de gestões para aplicações via WEB, e por ai a fora...
:D
-
de qualquer maneira passo o mais importante:
2 - A conservação de dados que revelem o conteúdo das comunicações é proibida, sem prejuízo do disposto na Lei n.º 41/2004, de 18 de Agosto, e na legislação processual penal relativamente à intercepção e gravação de comunicações.1 - Para efeitos da presente lei, entende-se por:
a) «Dados», os dados de tráfego e os dados de localização, bem como os dados conexos necessários para identificar o assinante ou o utilizador
Assim sendo em Portugal, as instituições (faculdades, bibliotecas municipais) tem uma pool de IP's publicos, no qual quando o utilizador vai á internet é feito o NAT do IP privado para o IP publico, e é guardado apenas esse NAT. Se um dia mais tarde foi necessário identificar o que é que o IP publico atribuido ao utilizador fez é facil pelo LOG do NAT.
Akill, meu entendimento nestes pontos é outro, especificamente neste:
A conservação de dados que revelem o conteúdo das comunicações é proibidaConteúdo entendo por printscreen ou código html da página acessada(camada 7) e no caso de ligações, o audio com a conversa.
Informação de ip e porta(camada 4) não é conteúdo. Não sei nem se a url pode ser interpretada como conteúdo.
não tinha pensado dessa maneira, mas vendo por esse ponto de vista até tens razão, ou seja, eu guardo o IP de origem IP de destino/URL e isso não pode ser interpretado como conteúdo da mensagem. Então mas por exemplo, o SARG quem estiver a fazer Streamming ou download por torrent, esse tipo de relatórios o SARG guarda?!
Se a lei em questão for aplicada da forma que você diz, as operadores de celular sequer podem cobrar os clientes, uma vez que não podem registrar quem ligou pra quem. Gravações de conversas telefônicas e log de acesso a internet e/ou emails aqui no Brasil também só podem ser solicitadas pela Justiça.
"… log de acesso a internet..." ?!?!?! pelo teu ponto de vista, então qual é a diferença desses LOG para os outros?!
Alguns exemplos que podem impossibilitar o trabalho de um analista e segurança em Portugal:
-
Não posso habilitar o log de acesso do servidor web, porque seria capaz de identificar quem acessou/tentou invadir meu site
-
Não posso filtrar spams, porque estaria analisando o cabeçalho e o conteúdo de um email.
-
Não posso usar um ids porque estaria analisando e logando tentativar de ataque
-
Não posso usar um ips porque estaria invadindo a privacidade do invasor
-
Não posso fazer cache de navegação porque estaria usando um único ip de saída.
Entende meu ponto de vista? Esta interpretação pode gerar até bloqueio de acesso a redes/sites para ips de portugal, uma vez que "a lei impede o registro de acesso" e consequentemente o rastreamento.
Uma dúvida: Como você bloqueia acesso ao youtube por exemplo para um usuário que está consumindo muita banda sem analisar os logs? ???
att,
Marcello Coutinhopara esse caso, limito a cada usuario uma determinada largura de banda… e não especificamente por ser ou não o youtube....
eu intendo o teu ponto de vista, e deixaste me a pensar bem... obrigado pela dica :D
-
-
Então mas por exemplo, o SARG quem estiver a fazer Streamming ou download por torrent, esse tipo de relatórios o SARG guarda?!
Se o cliente do torrent estiver usando http, sim. Mas normalmente estes clientes utilizam a porta 443 mas com outro protocolo+ssl(skype por exemplo).
O acesso a vídeos/streamming registra apenas a url solicitada. Se o canal de stream não tiver uma url para cada tipo de transmissão, você é capaz apenas de identificar que o canal foi acessado.
O log das regras de firewall(camada 4) vão registrar o acesso completo, com todas as portas de origem e destinos utilizadas para o acesso.
Recomendo um servidor de syslog para armazenar todas estas informações."… log de acesso a internet..." ?!?!?! pelo teu ponto de vista, então qual é a diferença desses LOG para os outros?!
Quis dizer que só a justiça pode pedir estes logs. O acesso a ele é restrito. Uma empresa que sofreu um ataque por exemplo não pode te ligar ou mandar um email solicitando os logs, o que normalmente se faz é avisar que houve um ataque a partir do seu ip.
Pelo menos por aqui, se a informação de acesso a partir do ip X é solicitada e você não tem, você corre grande risco de virar suspeito do crime ou pelo menos co-responsável uma vez que o ip em questão está sob sua responsabilidade.att,
Marcello Coutinho
