pflog ne log pas comme je voudrais

Le
patpro ~ patrick proniewski
Bonsoir,

J'utilise sur des serveurs FreeBSD une regle de firewall (pf) pour
surveiller les connexions initiées par l'utilisateur "www" à destination
de ports 80 distants :

pass out log (all) quick proto tcp from any to any port = http user = 80
flags S/SA keep state label "www@any to any:80 output"

J'ai réglé mon pflog pour qu'il capture 1600 octets au lieu des 116 par
défaut :

pflogd: [running] -s 1600 -i pflog0 -f /var/log/pflog (pflogd)

Mais quand je lis ce qui arrive dans /var/log/pflog, je n'ai semble-t-il
que les 116 octets de base. Alors que si je lis pflog0 directement, j'ai
bien l'ensemble des données capturées.
J'utilise les commandes suivantes :

tcpdump -As 0 -r /var/log/pflog src or dst port 80
et
tcpdump -As 0 -i pflog0 src or dst port 80

Une piste ? J'ai raté un truc ?

patpro

--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
patpro ~ patrick proniewski
Le #24355241
hmmm personne ?

In article patpro ~ patrick proniewski
Bonsoir,

J'utilise sur des serveurs FreeBSD une regle de firewall (pf) pour
surveiller les connexions initiées par l'utilisateur "www" à destination
de ports 80 distants :

pass out log (all) quick proto tcp from any to any port = http user = 80
flags S/SA keep state label " to any:80 output"

J'ai réglé mon pflog pour qu'il capture 1600 octets au lieu des 116 par
défaut :

pflogd: [running] -s 1600 -i pflog0 -f /var/log/pflog (pflogd)

Mais quand je lis ce qui arrive dans /var/log/pflog, je n'ai semble-t-il
que les 116 octets de base. Alors que si je lis pflog0 directement, j'ai
bien l'ensemble des données capturées.
J'utilise les commandes suivantes :

tcpdump -As 0 -r /var/log/pflog src or dst port 80
et
tcpdump -As 0 -i pflog0 src or dst port 80

Une piste ? J'ai raté un truc ?

patpro



--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
Bruno Ducrot
Le #24358851
Le 22-03-2012, patpro ~ patrick proniewski a écrit :
Bonsoir,

J'utilise sur des serveurs FreeBSD une regle de firewall (pf) pour
surveiller les connexions initiées par l'utilisateur "www" à destination
de ports 80 distants :

pass out log (all) quick proto tcp from any to any port = http user = 80
flags S/SA keep state label " to any:80 output"

J'ai réglé mon pflog pour qu'il capture 1600 octets au lieu des 116 par
défaut :

pflogd: [running] -s 1600 -i pflog0 -f /var/log/pflog (pflogd)

Mais quand je lis ce qui arrive dans /var/log/pflog, je n'ai semble-t-il
que les 116 octets de base. Alors que si je lis pflog0 directement, j'ai
bien l'ensemble des données capturées.
J'utilise les commandes suivantes :

tcpdump -As 0 -r /var/log/pflog src or dst port 80
et
tcpdump -As 0 -i pflog0 src or dst port 80

Une piste ? J'ai raté un truc ?



Le fichier de log est l'equivalent de la trace d'un tcpdump via
l'option '-w'. Or ce fichier ne peut contenir l'information de la
longueur d'un paquet capture qu'une seule fois. Il s'en suit que, afin
de preserver l'integrite du fichier /var/log/pflog, le daemon pflogd
enregistrera le nombre d'octets d'un paquet capture tel que defini
lors de la premiere invocation de pflogd.

Il s'en suit qu'il faut soit effacer, soit renommer ce fichier si l'on veut
jouer avec l'option -s de pflogd.

A plus,

--
Bruno Ducrot

A quoi ca sert que Ducrot hisse des carcasses ?
patpro ~ patrick proniewski
Le #24358961
In article Bruno Ducrot
Le 22-03-2012, patpro ~ patrick proniewski a écrit :
> Bonsoir,
>
> J'utilise sur des serveurs FreeBSD une regle de firewall (pf) pour
> surveiller les connexions initiées par l'utilisateur "www" à destination
> de ports 80 distants :
>
> pass out log (all) quick proto tcp from any to any port = http user = 80
> flags S/SA keep state label " to any:80 output"
>
> J'ai réglé mon pflog pour qu'il capture 1600 octets au lieu des 116 par
> défaut :
>
> pflogd: [running] -s 1600 -i pflog0 -f /var/log/pflog (pflogd)
>
> Mais quand je lis ce qui arrive dans /var/log/pflog, je n'ai semble-t-il
> que les 116 octets de base. Alors que si je lis pflog0 directement, j'ai
> bien l'ensemble des données capturées.
> J'utilise les commandes suivantes :
>
> tcpdump -As 0 -r /var/log/pflog src or dst port 80
> et
> tcpdump -As 0 -i pflog0 src or dst port 80
>
> Une piste ? J'ai raté un truc ?

Le fichier de log est l'equivalent de la trace d'un tcpdump via
l'option '-w'. Or ce fichier ne peut contenir l'information de la
longueur d'un paquet capture qu'une seule fois. Il s'en suit que, afin
de preserver l'integrite du fichier /var/log/pflog, le daemon pflogd
enregistrera le nombre d'octets d'un paquet capture tel que defini
lors de la premiere invocation de pflogd.

Il s'en suit qu'il faut soit effacer, soit renommer ce fichier si l'on veut
jouer avec l'option -s de pflogd.




ha ben elle est pointue celle là, merci :)
En tout cas, comme j'avais laissé l'option active dans mon rc.conf, je
constate effectivement que les fichiers récents contiennent bien ce que
je voulais !

Merci.

patpro

--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
Publicité
Poster une réponse
Anonyme