Hi,

Meine Firewall soll die HTTP-Verbindungen der angeschlossenen Clients mitloggen (das GET der Clients genügt, ich möchte nur die URL's wissen, die sie besuchen).

Es gibt ja so etwas bereits, nämlich "urlsnarf" aus dem "dsniff"-Paket, jedoch benutzt meine Firewall Token-Ring Karten und damit laufen Sniffer-basierende Tools nicht (jedenfalls habe ich noch keines gefunden).

Auch das Logging der entsprechenden Regeln der Firewall bringt nichts, da ich nur sehe, dass ein Client eine Verbindung zum Proxy aufgebaut hat.

Ich suche jetzt also irgend eine Möglichkeit diese HTTP-Verbindungen mitzuloggen (auf der Konsole). Kann wir da vielleicht jemand ein solchen Tool nennen, oder gibt es Möglichkeiten vom Kernel her?!

MFG, SmackTV

da würde ich zu squid greifen und direktes ansprechen externer webserver gar nicht mehr ermöglichen.


------------------
mfg,
marsellus

Erst mal Danke für die schnelle Antwort..

Ich möchte ja nicht den Zugriff aufs Inet verbieten, sondern nur wissen, wo die Einzelnen hinsurfen.

Auserdem muß ich über die Firewall noch einige andere Sachen durchlassen, die ich mit Squid nicht hinbekomme.

Aber trotzdem Danke erstmal...

MFG, SmackTV

Hallo,

das ist ja auch gemeint!

Du richtest Dir einen transparenten Proxy ein, auf der Basis von Squid.

Die Logdateien wertest Du dann einfach aus.

Gruß

Ahhhh,

Jetzt hats "klick!!" gemacht, wie das gemeint ist. Ich setze also über die bestehende Firewall den Squid und kann mit dessen Hilfe dann die Logs auswerten.

Gut, dann werd ich das mal probieren. Danke.

MFG, SmackTV

cool, das hab ich eigentlich gar nicht gemeint .. jedenfalls hab ich nicht an transparente proxies gedacht ;-)
man kann auch anfragen an externe ips mit port 80/443 aus dem lan einfach sperren und den bunutzern den proxy "aufzwingen", aber ein transparenter proxy ist natürlich viel eleganter.


------------------
mfg,
marsellus

huhuuuu

japsiee per proxy ist eine sache
ansonsten gibts da noch ne menge anderer tools ich befozuge da tcpdump/iptraf
diese zeigen aber deinen gesamten traffic an
du koentest nun noch andere progs dazu ...

aber wenn du nur die html sachen mitschneiden willst kannst du das auch noch per packetfilter machen

Hi zyz (und den Rest),

Das Problem mit tcpdump ist, dass in der FW nur Token-Ring Karten von IBM laufen --> das bedeutet, dass die nicht mit Sniffern zusammenarbeiten (oder auch andersherum). Die Karten schalten zwar in den entsprechenden Modus, aber bei Sniffer kommt nichts an (oder nur gewürge).

Über das Paketfilter kann ich es auch nicht machen, da nen Proxy im anderen Netz läuft und die Clients ihre Daten dorthin senden --> also steht in der Firewall Log-Datei nur, das sie zum Proxy gegangen sind.

Aber das mit dem Proxy aufsetzen hat geklappt (naja, fast). Einen Transparent Proxy konnte ich nicht nutzen (wahrscheinlich weil auf der FW noch Masquerading abläuft). Also hab ich einen normalen Proxy aufgesetzt und die FW-Regeln abgeändert (dass die Clients nur noch zum Proxy der FW kommen, und dieser dann zum nächsten Proxy). Zwar müssen die Clients als Proxy immer die FW eintragen, aber es funktioniert richtig gut und genau das was ich mir vorgestellt habe.

Also nochmals Danke an die Leute die die Idee gehabt hatten.

MFG, SmackTV