Como validar em qual regra uma conexão esta entrando?
-
Bom dia!
Como posso visualizar qual regra de firewall esta atuando em uma conexão?
Procurei a respeito mas não achei nada!….até achei onde visualizar as atividades das regras através dos respectivos números, ver os pacotes que entram nesta...bloqueio..etc, mas não é isto que preciso.....
Quero visualizar se os hosts (ip) da rede estão entrando na devida regra.
Outra pergunta é: Na visualização das regras tem um campo ID que fica em branco....isto é configurável?...Onde posso aplicar o uso desse id?
-
Basta usar a lógica, as regras são aplicadas de cima pra baixo, é só ver qual casa com o tráfego.
Ver em qual regra o tráfego está batendo somente na opção 10 do console, porém só mostra os bloqueios. -
Basta usar a lógica, as regras são aplicadas de cima pra baixo, é só ver qual casa com o tráfego.
Ver em qual regra o tráfego está batendo somente na opção 10 do console, porém só mostra os bloqueios.Então…em teste isto é até fácil pois de certa forma conseguimos "garantir" e visualizar o minimo ou máximo que definimos....mas em ambiente de produção esta sendo um pouco complicado...tem muitas variáveis que podem mascarar este diagnóstico.
Juntar 4 links, algumas centenas de hosts, QoS, traffic Shapper, schedules, balanceamento de link´s, vlans...etc...etc ... com a falta de experiência na ferramenta, esta sendo um pouco tumultuado...
Estou me virando bem...mas achei que tinha uma forma mais visual de verificar isto.....
Mas ainda sim....para que serve o campo ID nas regras?
-
Em teste aqui, você poderia marcar a opção de logar suas regras, dessa forma utilizando o comando "tcpdump -v -S -l -n -e -ttt -i pflog0" no console você pode ver em qual regra bate e como vc já sabe como ver o número da regra, fica mais facil.
Em produção acho que só seria viável com um servidor de log, impossível ver todos os logs na console, o Splunk é ótimo, mas é pago, é so pesquisar.
Sobre o ID, pelo que eu sei não é uma opção do pf, provavelmente é utilizado somente pro código da interface web.Edit: Mais uma coisa que me esqueci, em system logs-> firewall, clicando nos ícones x ou seta verde, um popup mostra qual regra desencadiou a ação (block ou pass); unindo tudo vc tem total condição pro que vc quer.
-
vou ver o que consigo de informação pelo tcpdump…
esta questão dos logs eu já estava pesquisando alguma solução para manda-los para algum lugar.
Encontrei esse servidor de logs: http://8pussy.org/, não só para isso, mas também para gerenciar logs de outras coisas na rede.Obrigado pelas dicas…..
-
Parece interessante esse software, não conhecia, vou dar uma olhada.
Obrigado.