Log trafic return
-
Bonjour à tous,
J'ai une petite question… ;D
je cherche à voir les logs du trafic web qui revient.
Je m'explique :
J'arrive bien a voir quand un de mes PC fait une requête vers internet en revanche je n'arrive pas à loguer la réponse.
ex: Lorsque je télécharge un fichier, je vois bien la requête vers la page web en revanche je ne vois pas dans PFSENSE les paquets de retour (et donc les X Mo que mon PC à téléchargé). cela dit si j'ouvre une invite de commande sur mn PFSENSE et que je fait un TCPDUMP je vois bien tout mes paquets.L'idée est de mettre une règle afin de voir ce trafic.
Je ne souhaite pas mettre en place de proxy.
-
L'idée est de mettre une règle afin de voir ce trafic.
Votre idée serait de voir dans les logs ce que vous voyez dans Tcpdump ?
-
Oui en en effet c'est bien l'idée.
-
Je ne souhaite pas mettre en place de proxy.
Et pourtant, les logs d'un proxy donnent les infos souhaitées : date, heure, ip source, url demandée, taille, code retour
Le suivi, au sens tcp, de la session est bien plus difficile à capter que lire la ligne correspondante du log proxy (écrite à la fin de la session).
-
Pfsense ne logue que les paquets SYN. Il ne logue pas tous les paquets comme le fait un outil de capture et analyse de trames (Tcpdump, wireshark. …).
-
jdh:
Je sais que le proxy répondrait à mes attente mais ayant peu de temps pour administrer mon parc je ne souhaite pas (si possible) installer de service dont je n'ai pas de réelle utilité.ccnet:
Dans les paramètres avancés des règles de FW il est possible de choisir des flags TCP (FIN/SYN/RST/PSH/ACK/URG/ECE/CWR) donc je pensais que pfsense les logguait…J'ai trouvé "softflowd" qui a l'aire de répondre à mon besoin... je vais donc tester et je vous tiendrai informé...
Merci de vos réponses.
-
il est possible de choisir des flags TCP (FIN/SYN/RST/PSH/ACK/URG/ECE/CWR)
Mais l'essentiel du trafic avec des data est souvent constitué de paquets qui ne comporte pas ces flags, même si on les voit positionné dans les trames. Ils n'ont dans ce cas pas de sens d'un point d vue TCP. Le problème "annexe" est par ailleurs la volumétrie lié à un collecte exhaustive du trafic TCP.
-
Dans l'absolu un switch avec duplication de port et Wireshark va répondre, techniquement, à ta question mais j'ai du mal à saisir l'objectif de ce type de manip quand ce n'est pas de l'analyse d'un problème ponctuel ou la nécessité de capturer très précisément un flux réseau.
-
Bonjour,
J'ai donc travaillé sur "softflowd" et cela répond à mon besoin. :)
Merci à tous d'avoir pris le temps de me répondre.ccnet & chris4916: le but n'est pas de dupliquer le trafic et de stocker chaque requêtes de chaque utilisateurs ou services mais de voir les volumes qui entrent ou qui sortent de l'entreprise (histoire que si j'ai 2go qui sortent chaque nuit vers une IP que je ne connais pas (vu que je fais mes sauvegardes en interne)… ce serai suspect...).
J'ai donc pu loguer l'entré de 600 Mo de données sur moins de 725.8 ko.
Pour moi le sujet est clos.
Je suis dispo si vous voulez plus d'info.
-
'softflowd' est un package de type 'sonde netflow' : archi de surveillance réseau développé par Cisco.
Une url intéressante est https://www.osnet.eu/fr/content/une-sonde-netflow-pour-pfsense (écrit par Gregober, modérateur du forum français).
Il s'agit d'une technique de relevé de 'tout' le trafic, remonté vers une console.J'utilise plutôt le package : ntop.
Il correspond à la commande bien connue 'ntop' et se présente aussi comme 'sonde netflow'.
Je l'utilise seule : juste pour catégoriser les flux entrants/sortants du pfSense.Par exemple, on peut avoir
- All protocols > top talkers > Last day : liste pour J-1 des top senders et top receivers
- IP > Summary > Traffic : table en ligne les hosts, en colonnes, les flux (plusieurs colonnes)