J'utilise sur des serveurs FreeBSD une regle de firewall (pf) pour
surveiller les connexions initiées par l'utilisateur "www" à destination
de ports 80 distants :
pass out log (all) quick proto tcp from any to any port = http user = 80
flags S/SA keep state label "www@any to any:80 output"
J'ai réglé mon pflog pour qu'il capture 1600 octets au lieu des 116 par
défaut :
Mais quand je lis ce qui arrive dans /var/log/pflog, je n'ai semble-t-il
que les 116 octets de base. Alors que si je lis pflog0 directement, j'ai
bien l'ensemble des données capturées.
J'utilise les commandes suivantes :
tcpdump -As 0 -r /var/log/pflog src or dst port 80
et
tcpdump -As 0 -i pflog0 src or dst port 80
Une piste ? J'ai raté un truc ?
patpro
--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
patpro ~ patrick proniewski
hmmm personne ?
In article <patpro-8D6F3D.22541222032012@[192.168.0.1]>, patpro ~ patrick proniewski wrote:
Bonsoir,
J'utilise sur des serveurs FreeBSD une regle de firewall (pf) pour surveiller les connexions initiées par l'utilisateur "www" à destination de ports 80 distants :
pass out log (all) quick proto tcp from any to any port = http user = 80 flags S/SA keep state label " to any:80 output"
J'ai réglé mon pflog pour qu'il capture 1600 octets au lieu des 116 par défaut :
Mais quand je lis ce qui arrive dans /var/log/pflog, je n'ai semble-t-il que les 116 octets de base. Alors que si je lis pflog0 directement, j'ai bien l'ensemble des données capturées. J'utilise les commandes suivantes :
tcpdump -As 0 -r /var/log/pflog src or dst port 80 et tcpdump -As 0 -i pflog0 src or dst port 80
Une piste ? J'ai raté un truc ?
patpro
-- A vendre : KVM IP 16 ports APC http://patpro.net/blog/index.php/2008/01/12/133
hmmm personne ?
In article <patpro-8D6F3D.22541222032012@[192.168.0.1]>,
patpro ~ patrick proniewski <patpro@boleskine.patpro.net> wrote:
Bonsoir,
J'utilise sur des serveurs FreeBSD une regle de firewall (pf) pour
surveiller les connexions initiées par l'utilisateur "www" à destination
de ports 80 distants :
pass out log (all) quick proto tcp from any to any port = http user = 80
flags S/SA keep state label "www@any to any:80 output"
J'ai réglé mon pflog pour qu'il capture 1600 octets au lieu des 116 par
défaut :
Mais quand je lis ce qui arrive dans /var/log/pflog, je n'ai semble-t-il
que les 116 octets de base. Alors que si je lis pflog0 directement, j'ai
bien l'ensemble des données capturées.
J'utilise les commandes suivantes :
tcpdump -As 0 -r /var/log/pflog src or dst port 80
et
tcpdump -As 0 -i pflog0 src or dst port 80
Une piste ? J'ai raté un truc ?
patpro
--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
In article <patpro-8D6F3D.22541222032012@[192.168.0.1]>, patpro ~ patrick proniewski wrote:
Bonsoir,
J'utilise sur des serveurs FreeBSD une regle de firewall (pf) pour surveiller les connexions initiées par l'utilisateur "www" à destination de ports 80 distants :
pass out log (all) quick proto tcp from any to any port = http user = 80 flags S/SA keep state label " to any:80 output"
J'ai réglé mon pflog pour qu'il capture 1600 octets au lieu des 116 par défaut :
Mais quand je lis ce qui arrive dans /var/log/pflog, je n'ai semble-t-il que les 116 octets de base. Alors que si je lis pflog0 directement, j'ai bien l'ensemble des données capturées. J'utilise les commandes suivantes :
tcpdump -As 0 -r /var/log/pflog src or dst port 80 et tcpdump -As 0 -i pflog0 src or dst port 80
Une piste ? J'ai raté un truc ?
patpro
-- A vendre : KVM IP 16 ports APC http://patpro.net/blog/index.php/2008/01/12/133
Bruno Ducrot
Le 22-03-2012, patpro ~ patrick proniewski a écrit :
Bonsoir,
J'utilise sur des serveurs FreeBSD une regle de firewall (pf) pour surveiller les connexions initiées par l'utilisateur "www" à destination de ports 80 distants :
pass out log (all) quick proto tcp from any to any port = http user = 80 flags S/SA keep state label " to any:80 output"
J'ai réglé mon pflog pour qu'il capture 1600 octets au lieu des 116 par défaut :
Mais quand je lis ce qui arrive dans /var/log/pflog, je n'ai semble-t-il que les 116 octets de base. Alors que si je lis pflog0 directement, j'ai bien l'ensemble des données capturées. J'utilise les commandes suivantes :
tcpdump -As 0 -r /var/log/pflog src or dst port 80 et tcpdump -As 0 -i pflog0 src or dst port 80
Une piste ? J'ai raté un truc ?
Le fichier de log est l'equivalent de la trace d'un tcpdump via l'option '-w'. Or ce fichier ne peut contenir l'information de la longueur d'un paquet capture qu'une seule fois. Il s'en suit que, afin de preserver l'integrite du fichier /var/log/pflog, le daemon pflogd enregistrera le nombre d'octets d'un paquet capture tel que defini lors de la premiere invocation de pflogd.
Il s'en suit qu'il faut soit effacer, soit renommer ce fichier si l'on veut jouer avec l'option -s de pflogd.
A plus,
-- Bruno Ducrot
A quoi ca sert que Ducrot hisse des carcasses ?
Le 22-03-2012, patpro ~ patrick proniewski a écrit :
Bonsoir,
J'utilise sur des serveurs FreeBSD une regle de firewall (pf) pour
surveiller les connexions initiées par l'utilisateur "www" à destination
de ports 80 distants :
pass out log (all) quick proto tcp from any to any port = http user = 80
flags S/SA keep state label "www@any to any:80 output"
J'ai réglé mon pflog pour qu'il capture 1600 octets au lieu des 116 par
défaut :
Mais quand je lis ce qui arrive dans /var/log/pflog, je n'ai semble-t-il
que les 116 octets de base. Alors que si je lis pflog0 directement, j'ai
bien l'ensemble des données capturées.
J'utilise les commandes suivantes :
tcpdump -As 0 -r /var/log/pflog src or dst port 80
et
tcpdump -As 0 -i pflog0 src or dst port 80
Une piste ? J'ai raté un truc ?
Le fichier de log est l'equivalent de la trace d'un tcpdump via
l'option '-w'. Or ce fichier ne peut contenir l'information de la
longueur d'un paquet capture qu'une seule fois. Il s'en suit que, afin
de preserver l'integrite du fichier /var/log/pflog, le daemon pflogd
enregistrera le nombre d'octets d'un paquet capture tel que defini
lors de la premiere invocation de pflogd.
Il s'en suit qu'il faut soit effacer, soit renommer ce fichier si l'on veut
jouer avec l'option -s de pflogd.
Le 22-03-2012, patpro ~ patrick proniewski a écrit :
Bonsoir,
J'utilise sur des serveurs FreeBSD une regle de firewall (pf) pour surveiller les connexions initiées par l'utilisateur "www" à destination de ports 80 distants :
pass out log (all) quick proto tcp from any to any port = http user = 80 flags S/SA keep state label " to any:80 output"
J'ai réglé mon pflog pour qu'il capture 1600 octets au lieu des 116 par défaut :
Mais quand je lis ce qui arrive dans /var/log/pflog, je n'ai semble-t-il que les 116 octets de base. Alors que si je lis pflog0 directement, j'ai bien l'ensemble des données capturées. J'utilise les commandes suivantes :
tcpdump -As 0 -r /var/log/pflog src or dst port 80 et tcpdump -As 0 -i pflog0 src or dst port 80
Une piste ? J'ai raté un truc ?
Le fichier de log est l'equivalent de la trace d'un tcpdump via l'option '-w'. Or ce fichier ne peut contenir l'information de la longueur d'un paquet capture qu'une seule fois. Il s'en suit que, afin de preserver l'integrite du fichier /var/log/pflog, le daemon pflogd enregistrera le nombre d'octets d'un paquet capture tel que defini lors de la premiere invocation de pflogd.
Il s'en suit qu'il faut soit effacer, soit renommer ce fichier si l'on veut jouer avec l'option -s de pflogd.
A plus,
-- Bruno Ducrot
A quoi ca sert que Ducrot hisse des carcasses ?
patpro ~ patrick proniewski
In article , Bruno Ducrot wrote:
Le 22-03-2012, patpro ~ patrick proniewski a écrit : > Bonsoir, > > J'utilise sur des serveurs FreeBSD une regle de firewall (pf) pour > surveiller les connexions initiées par l'utilisateur "www" à destination > de ports 80 distants : > > pass out log (all) quick proto tcp from any to any port = http user = 80 > flags S/SA keep state label " to any:80 output" > > J'ai réglé mon pflog pour qu'il capture 1600 octets au lieu des 116 par > défaut : > > pflogd: [running] -s 1600 -i pflog0 -f /var/log/pflog (pflogd) > > Mais quand je lis ce qui arrive dans /var/log/pflog, je n'ai semble-t-il > que les 116 octets de base. Alors que si je lis pflog0 directement, j'ai > bien l'ensemble des données capturées. > J'utilise les commandes suivantes : > > tcpdump -As 0 -r /var/log/pflog src or dst port 80 > et > tcpdump -As 0 -i pflog0 src or dst port 80 > > Une piste ? J'ai raté un truc ?
Le fichier de log est l'equivalent de la trace d'un tcpdump via l'option '-w'. Or ce fichier ne peut contenir l'information de la longueur d'un paquet capture qu'une seule fois. Il s'en suit que, afin de preserver l'integrite du fichier /var/log/pflog, le daemon pflogd enregistrera le nombre d'octets d'un paquet capture tel que defini lors de la premiere invocation de pflogd.
Il s'en suit qu'il faut soit effacer, soit renommer ce fichier si l'on veut jouer avec l'option -s de pflogd.
ha ben elle est pointue celle là, merci :) En tout cas, comme j'avais laissé l'option active dans mon rc.conf, je constate effectivement que les fichiers récents contiennent bien ce que je voulais !
Merci.
patpro
-- A vendre : KVM IP 16 ports APC http://patpro.net/blog/index.php/2008/01/12/133
In article <slrnjn8mu3.msu.ducrot@bducrot.vbur.b1.p.fti.net>,
Bruno Ducrot <ducrot@echo.fr> wrote:
Le 22-03-2012, patpro ~ patrick proniewski a écrit :
> Bonsoir,
>
> J'utilise sur des serveurs FreeBSD une regle de firewall (pf) pour
> surveiller les connexions initiées par l'utilisateur "www" à destination
> de ports 80 distants :
>
> pass out log (all) quick proto tcp from any to any port = http user = 80
> flags S/SA keep state label "www@any to any:80 output"
>
> J'ai réglé mon pflog pour qu'il capture 1600 octets au lieu des 116 par
> défaut :
>
> pflogd: [running] -s 1600 -i pflog0 -f /var/log/pflog (pflogd)
>
> Mais quand je lis ce qui arrive dans /var/log/pflog, je n'ai semble-t-il
> que les 116 octets de base. Alors que si je lis pflog0 directement, j'ai
> bien l'ensemble des données capturées.
> J'utilise les commandes suivantes :
>
> tcpdump -As 0 -r /var/log/pflog src or dst port 80
> et
> tcpdump -As 0 -i pflog0 src or dst port 80
>
> Une piste ? J'ai raté un truc ?
Le fichier de log est l'equivalent de la trace d'un tcpdump via
l'option '-w'. Or ce fichier ne peut contenir l'information de la
longueur d'un paquet capture qu'une seule fois. Il s'en suit que, afin
de preserver l'integrite du fichier /var/log/pflog, le daemon pflogd
enregistrera le nombre d'octets d'un paquet capture tel que defini
lors de la premiere invocation de pflogd.
Il s'en suit qu'il faut soit effacer, soit renommer ce fichier si l'on veut
jouer avec l'option -s de pflogd.
ha ben elle est pointue celle là, merci :)
En tout cas, comme j'avais laissé l'option active dans mon rc.conf, je
constate effectivement que les fichiers récents contiennent bien ce que
je voulais !
Merci.
patpro
--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
Le 22-03-2012, patpro ~ patrick proniewski a écrit : > Bonsoir, > > J'utilise sur des serveurs FreeBSD une regle de firewall (pf) pour > surveiller les connexions initiées par l'utilisateur "www" à destination > de ports 80 distants : > > pass out log (all) quick proto tcp from any to any port = http user = 80 > flags S/SA keep state label " to any:80 output" > > J'ai réglé mon pflog pour qu'il capture 1600 octets au lieu des 116 par > défaut : > > pflogd: [running] -s 1600 -i pflog0 -f /var/log/pflog (pflogd) > > Mais quand je lis ce qui arrive dans /var/log/pflog, je n'ai semble-t-il > que les 116 octets de base. Alors que si je lis pflog0 directement, j'ai > bien l'ensemble des données capturées. > J'utilise les commandes suivantes : > > tcpdump -As 0 -r /var/log/pflog src or dst port 80 > et > tcpdump -As 0 -i pflog0 src or dst port 80 > > Une piste ? J'ai raté un truc ?
Le fichier de log est l'equivalent de la trace d'un tcpdump via l'option '-w'. Or ce fichier ne peut contenir l'information de la longueur d'un paquet capture qu'une seule fois. Il s'en suit que, afin de preserver l'integrite du fichier /var/log/pflog, le daemon pflogd enregistrera le nombre d'octets d'un paquet capture tel que defini lors de la premiere invocation de pflogd.
Il s'en suit qu'il faut soit effacer, soit renommer ce fichier si l'on veut jouer avec l'option -s de pflogd.
ha ben elle est pointue celle là, merci :) En tout cas, comme j'avais laissé l'option active dans mon rc.conf, je constate effectivement que les fichiers récents contiennent bien ce que je voulais !
Merci.
patpro
-- A vendre : KVM IP 16 ports APC http://patpro.net/blog/index.php/2008/01/12/133
