[debian sarge] sites visités et réseau privé [Résolu]

[djibril]

Salut,
petite question bête.
Sur mon réseau, j'ai un serveur A qui fait office de firewall et de passerelle internet.
un serveur B qui fait dhcp, bind, intranet, etc et d'autres serveurs.
Je voudrais installé squid pour tester son fonctionnement.
Alors ma question est la suivante : puis je l'installer sur le serveur B et tester, verifier toutes les connexions, sites visités par les PC de mon réseau? ou bien suis je obligé de l'installer sur le serveur A qui fait office de passerelle pour le net?

Merci

[gorgonite]

Citation:

Envoyé par djibril

Alors ma question est la suivante : puis je l'installer sur le serveur B et tester, verifier toutes les connexions, sites visités pas les PC de mon réseau? ou bien suis je obligé de l'installer sur le serveur A qui fait office de passerelle pour le net?

ce que tu peux faire, c'est généré un rapport à partir des logs de squid sur la machine A (via un cron) et l'exporter sur la machine B

sinon tu peux controler les divers éléments de la machine A depuis la machine B grâce à un outil de monitoring du type munin/cacti/mrtg (grapheur utile pour les bandes passantes, la charge système, etc) et nagios (utile pour voir les alertes et les réparer)

si tu veux un outil d'analyse de logs squid, j'ai ce qu'il faut... faudra juste que j'aille le chercher sur un de mes serveurs

[djibril]

ouais je veux bien ton outil.
Mais en résumé, faut que j'installe squid sur le serveur A alors?

[gorgonite]

Citation:

Envoyé par djibril

Mais en résumé, faut que j'installe squid sur le serveur A alors?

elle fonctionne en NAT pur ta passerelle ? t'as même pas un petit proxy http ?
si c'est le cas, alors mon outil (d'ailleurs, ce n'est mon outil, moi j'ai juste un petit script qui utilise cet outil ) ne te servira à rien... un petit munin-node sur le serveur A et munin sur le serveur B peut te donner des graphes intéressants (bande passante & cie)

pour des statistiques plus détaillées, je voyais l'analyse des logs de connexion des diverses machines... mais si tu n'as pas squid, il te faudra loguer les NAT via iptables

[djibril]

en fait, je souhaite avoir un aperçu des sites visités sur mon réseaux (par les utilisateurs windowsiens) et voir comment bloquer certains sites.
J'ai donc vu qu'il fallait squid en installation transparente.
sur mon serveur A, j'ai pas d'interface graphique, rien du tout, il sert juste de passerelle et de firewall (netfilter et nat) et je prefere ainsi.
Comme mon serveur B du reseau local me sert d'intranet (web et dns, etc). je ne savais pas ou il fallait installer squid.
Dans un deuxieme temps, m^me s'il n'y a pas d'interface graphique, je veux juste déjà le tester pour voir comment ça marche.
Donc pour commencer, je l'installe où ?

[Maillon]

Citation:

Envoyé par djibril

en fait, je souhaite avoir un aperçu des sites visités sur mon réseaux (par les utilisateurs windowsiens) et voir comment bloquer certains sites.

Bah si c'est juste pour faire ça tu peux Parser le fichier /var/log/named/query.log qui se trouve sur ton serveur B étant donné que c'est ton serveur dns toutes les requêtes passe par lui ^^ Après à l'aide d'un script à la limite tu peux sélectionner les mots que tu recherches.

Une fois que tu auras les sites que tu veux interdire bah tu les mets dans ton proxy http (moi j'utilisais squidguard je préférais mais chacun ces goûts ^^).

Mais c'est peut etre pas ça que tu veux faire...

[gorgonite]

le squid est à installer sur le serveur A (il fera aussi du NAT pour les protocoles ne pouvant passer à travers la passerelle HTTP )

un exemple d'installation :
http://gorgonite.developpez.com/tuto...ux/passerelle/


pour ce qui est de l'utilitaire pour analyser les logs de Squid, il s'appelle lire
site de l'éditeur http://logreport.org/

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
 
root@gollum:/var/lib/lire# aptitude show lire 
Package: lire
State: installed
Automatically installed: no
Version: 2:2.0.2-3
Priority: optional
Section: admin
Maintainer: Wolfgang Sourdeau <was@debian.org>
Uncompressed Size: 5136k
Depends: perl (>= 5.6.0-16), debconf (>= 1.0.32) | debconf-2.0, libdbd-sqlite2-perl (>= 1:0.33-1), libxml-parser-perl,
         libtime-modules-perl, libmime-perl, exim4 | mail-transport-agent, libcurses-ui-perl (>= 0.92-1), libintl-perl (>=
         1.10-1)
PreDepends: adduser
Recommends: ploticus, libterm-readline-perl-perl
Suggests: libspreadsheet-writeexcel-perl, lire-doc
Description: full-featured log analyzer and report generator
 Lire is a full-featured and extensible set of utilities and API's to generate statistics and reports from logfiles. Although
 those could be any type of logfiles, the first purpose of Lire is to ease the administration and the monitoring of system
 services. As such, filters are bundled for email servers like Postfix, Sendmail and Exim, for web servers like Apache and
 IIS, as well as several kinds of firewall, printing, DNS or database services, ... 
 
 Using DocBook as an intermediary format, the resulting reports can be produced in ASCII, HTML, PDF and other formats. 
 
 Lire is a software of the LogReport Foundation http://www.logreport.org/.
 
Tags: implemented-in::perl, interface::commandline, role::program, scope::utility, security::log-analyzer, use::converting,
      works-with::logfile, works-with::text, works-with-format::docbook

et mon petit script (qui t'éviteras de lire la doc complète... j'ai fait du html, mais tu peux aussi avoir des pdf ou du texte brut ou rtf )

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
#! /bin/sh
LR_COMMAND="lr_run lr_log2report"
LOG_TYPE="squid_access" 
SQUID_LOGFILE=/var/log/squid/access.log
 
OUTPUT_HTML="--output html"
 
REPORT_DIRECTORY="/var/lib/lire/report"
 
${LR_COMMAND} ${LOG_TYPE} ${OUTPUT_HTML} ${SQUID_LOGFILE} ${REPORT_DIRECTORY}/html/

pour ce qui est des interdictions, on peut utiliser squidguard... mais perso, je préfère dansguardian qui peut faire beaucoup plus

[Maillon]

Citation:

Envoyé par gorgonite

pour ce qui est des interdictions, on peut utiliser squidguard... mais perso, je préfère dansguardian qui peut faire beaucoup plus

Ah je connaissais pas ^^

[djibril]

Citation:

Envoyé par Maillon

Bah si c'est juste pour faire ça tu peux Parser le fichier /var/log/named/query.log qui se trouve sur ton serveur B étant donné que c'est ton serveur dns toutes les requêtes passe par lui ^^ Après à l'aide d'un script à la limite tu peux sélectionner les mots que tu recherches.

Une fois que tu auras les sites que tu veux interdire bah tu les mets dans ton proxy http (moi j'utilisais squidguard je préférais mais chacun ces goûts ^^).

Mais c'est peut etre pas ça que tu veux faire...

je n'ai pas de fichier query.log sur mon serveur B
Sinon question bete : pour l'instant, lorsqu'une personne surf sur internet, normalement il laisse des traces sur mon réseaux?
Si oui, dans quel fichier elles se trouvent?
Merci

merci gorgonite, je vais lire tout ça, et bien m'instruire
Je vous tiens au courant!!

[Maillon]

Citation:

Envoyé par djibril

je n'ai pas de fichier query.log sur mon serveur B
Sinon question bete : pour l'instant, lorsqu'une personne surf sur internet, normalement il laisse des traces sur mon réseaux?
Si oui, dans quel fichier elles se trouvent?
Merci

Bah si les traces sont dans le query.log justement lol ^^

Il faut que tu rajoutes dans ton named.conf à la suite :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
logging {
        channel "query_log" {
                file "/var/log/named/query.log";
                print-category yes;
                print-severity yes;
                print-time yes;
        };
};

Et normalement ça devrait marcher après ^^

[djibril]

apres un mkdir /var/log/named et un touch /var/log/named/query.log
j'ai rajoute dans named.conf
34 channel "query.log" {
35 file "/var/log/named/query.log";
36 print-category yes;
37 print-severity yes;
38 print-time yes;
39 };

dans mon logging, mais je n'ai rien qui marche, il reste vide

le fait de faire des forward, ça pose probleme?
dans options

Citation:

forwarders {
129****;
129.******;
};

[gorgonite]

avec cela en plus ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

severity info;

en plus faut penser à spécifier les catégories à loguer...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
category default { log_file; };
  category general { log_file; };
  category security { log_file; };
  category xfer-in { log_file; };
  category xfer-out { log_file; };
  category notify { log_file; };
  category client { log_file; };
  category queries { log_file; };

[djibril]

Citation:

Envoyé par gorgonite

avec cela en plus ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

severity info;

non pas mieux

voilà ma section :

Citation:

logging {
category lame-servers { null; };
category cname { null; };
channel "query.log" {
file "/var/log/named/query.log";
print-category yes;
print-severity yes;
print-time yes;
severity info;
};
};

[gorgonite]

essaies cela

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
logging {
  channel log_file {
    file "/var/log/named/query.log";
    print-category yes;
    print-severity yes;
    print-time yes;
    severity info;
  };
 
  category default { log_file; };
  category general { log_file; };
  category security { log_file; };
  category xfer-in { log_file; };
  category xfer-out { log_file; };
  category notify { log_file; };
  category client { log_file; };
  category queries { log_file; };
};

[djibril]

et bingo, ça commence à etre bon,
le fichier se remplie correctemment.

[gorgonite]

perso, je pense que loguer autant les requetes DNS peut être très dangereux... fait très attention à la taille du fichier log (les options versions et size peuvent servir)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

file "/var/log/named.log versions 5 size 1m;

[djibril]

bon, toujours avant de me lancer dans squid comme tu me l'a précisé gorgonite, j'ai quelques question sur mon named.conf.
ma section logging, ressemble maintenant à ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
     30 // reduce log verbosity on issues outside our control
     31 logging {
     32         category lame-servers { null; };
     33         category cname { null; };
     34         channel log_file {
     35           file "/var/log/named/query.log";
     36           print-category yes;
     37           print-severity yes;
     38           print-time yes;
     39           severity info;
     40         };
     41         category default { log_file; };
     42         category general { log_file; };
     43         category security { log_file; };
     44         category xfer-in { log_file; };
     45         category xfer-out { log_file; };
     46         category notify { log_file; };
     47         category client { log_file; };
     48         category queries { log_file; };
     49 };

j'ai bien mon fichier query.log qui augment au fur et à mesure et ça me permet de voir les différente connexion web.
1) Vu qu'il ne va pas cesser d'augmenter, est ce qu'il y a un moyen de gérer la taille?
2) Va t'il creer un gz automatiquement comment access.log?
3) A ce niveau je suppose qu'on ne peut rien parametrer (interdiction et autre)?

Merci

[djibril]

Citation:

Envoyé par gorgonite

perso, je pense que loguer autant les requetes DNS peut être très dangereux... fait très attention à la taille du fichier log (les options versions et size peuvent servir)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

file "/var/log/named.log versions 5 size 1m;

ok, donc pour limiter le taille de mon fichier, faudrait que je mette dans ma section logging

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

file "/var/log/named/query.log versions 5 size 1m;

??
Sinon pourquoi est-ce dangereux?

Sinon c'est une methode provisoir en attendant de mettre en place squid qui est beaucoup plus propre je suppute.

[gorgonite]

Citation:

Envoyé par djibril

Sinon pourquoi est-ce dangereux?

parce que si tu ne le fais pas, le fichier va gonfler et prendre toute la place disponible dans ton /var/log... et en plus, ça va ralentir fortement le serveur qui utilise ce fichier de log



sinon suivant le serveur que tu utilises, il y a un daemon qui gère la rotation de logs...

[djibril]

Citation:

Envoyé par gorgonite

parce que si tu ne le fais pas, le fichier va gonfler et prendre toute la place disponible dans ton /var/log... et en plus, ça va ralentir fortement le serveur qui utilise ce fichier de log



sinon suivant le serveur que tu utilises, il y a un daemon qui gère la rotation de logs...

oui oui, ça j'ai bien compris, je pensais que tu me disais que cette methode pour verifier les naviguation web est dangereuse .

Merci