Salve a tutti
Mi servirebbe un software (opensource) per analizzare una rete LAN (50 pc su cui gira Ubuntu 12.04).
Il software dovrebbe salvarmi i siti visitati da ogni PC (quindi il PC deve essere riconoscibile dagli altri, magari tramite Indirizzo MAC), l'orario e il giorno in cui il sito è stato visitato
Grazie
Analizzare rete
Moderatore: Federico.Lagni
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Usa un proxy. Quello che chiedi tu (se parlimo di navigazione web) è il lavoro di un proxy.
Squid è tuo amico nella sua marea di forme e di incarnazioni sviluppate sul web.
Rizio
Squid è tuo amico nella sua marea di forme e di incarnazioni sviluppate sul web.
Rizio
Si vis pacem para bellum
-
- n00b
- Messaggi: 13
- Iscritto il: mer 16 nov , 2011 10:10 am
Salve a tutti,
sono disperato..... pensavo di aver configurato correttamente Squid in modalità Trasparente ma credo proprio di no dato che il file /var/log/squid3/access.log rimane vuoto :muro:
Vi spiego come ho configurato la rete
Il pc al centro svolge il ruolo di Proxy & Dhcp (fino ad ora sono arrivato a configurare il proxy --> Squid modalità Transparent).
Esso è dotato di due schede di rete
eht1 che collega la macchina alla LAN
eht0 che collega invece la macchina al router.
Le ho configurate in questo modo
Sono andato poi ad editare il file /etc/squid3/squid.conf aggiungendo la parola trasparent ad http_port 3128 quindi ottengo
Ho aggiunto poi
sotto la riga acl localhost src 127.0.0.1/32 ::1
Ho aggiunto la riga
sopra ad http_access deny all
Poi ho editato il file /etc/sysctl.conf decommentando le righe:
Ho creato fil file /etc/iptables.up.rules scrivendo
Editato il file /etc/rc.local aggiungendo
Per provare poi ho settato un client
Navigo anche se stoppo Squid..... e il file access.log rimane vuoto
sono disperato..... pensavo di aver configurato correttamente Squid in modalità Trasparente ma credo proprio di no dato che il file /var/log/squid3/access.log rimane vuoto :muro:
Vi spiego come ho configurato la rete
Il pc al centro svolge il ruolo di Proxy & Dhcp (fino ad ora sono arrivato a configurare il proxy --> Squid modalità Transparent).
Esso è dotato di due schede di rete
eht1 che collega la macchina alla LAN
eht0 che collega invece la macchina al router.
Le ho configurate in questo modo
Codice: Seleziona tutto
auto eth0
iface eth0 inet static
address 192.168.1.10
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1
Codice: Seleziona tutto
auto eth1
iface eth1 inet static
address 192.168.2.10
netmask 255.255.255.0
network 192.168.2.0
broadcast 192.168.2.255
Codice: Seleziona tutto
http_port 3128 transparent
Codice: Seleziona tutto
acl lan src 192.168.2.0/24
Ho aggiunto la riga
Codice: Seleziona tutto
http_access allow lan
Poi ho editato il file /etc/sysctl.conf decommentando le righe:
Codice: Seleziona tutto
net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1
Codice: Seleziona tutto
*nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.10:3128 -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE COMMIT
Codice: Seleziona tutto
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 –o eth0 -j MASQUERADE
Codice: Seleziona tutto
IP address : 192.168.2.11
Netmask: 255.255.255.0
Gateway: 192.168.2.10
DNS 8.8.8.8
-
- Cisco power user
- Messaggi: 121
- Iscritto il: mar 15 giu , 2010 4:07 pm
Ciao,
non conosco Squid quindi non entro in merito alla programmazione ma una domanda banale, chi è il default gateway per i pc ?
Luca
non conosco Squid quindi non entro in merito alla programmazione ma una domanda banale, chi è il default gateway per i pc ?
Luca
- emiliano
- Network Emperor
- Messaggi: 280
- Iscritto il: lun 19 nov , 2012 11:44 am
Premesso che non conosco Squid nemmeno io, una domanda mi viene spontanea e la rivolgo a Rizio che invece ne è esperto.
Indipendentemente dal tipo di proxy/firewall utilizzato, la modalità trasparent non dovrebbe lavorare a livello2? Se si perchè si impostano le 2 int su una subnet diversa?
Sono ignorante in materia ma dagli asa e pochi altri firewall/proxy che ho utilizzato la modalità trasparent solitamente prevede la sola assegnazione di un ip di management e sia i client, che il gateway si trovano nella setssa subnet, sbaglio?
Se ho detto una bestialità da ignorante Rizio perdonami
Emiliano
Indipendentemente dal tipo di proxy/firewall utilizzato, la modalità trasparent non dovrebbe lavorare a livello2? Se si perchè si impostano le 2 int su una subnet diversa?
Sono ignorante in materia ma dagli asa e pochi altri firewall/proxy che ho utilizzato la modalità trasparent solitamente prevede la sola assegnazione di un ip di management e sia i client, che il gateway si trovano nella setssa subnet, sbaglio?
Se ho detto una bestialità da ignorante Rizio perdonami
Emiliano
- KEEP CALM AND CARRY ON -
CISCO CCNA - CCNA Voice - CCDA - CCNP R&S - CCDP Certified
MICROSOFT MCP Certified
CISCO CCNA - CCNA Voice - CCDA - CCNP R&S - CCDP Certified
MICROSOFT MCP Certified
-
- n00b
- Messaggi: 13
- Iscritto il: mer 16 nov , 2011 10:10 am
Per i client 192.168.2.10lucahornet ha scritto:Ciao,
non conosco Squid quindi non entro in merito alla programmazione ma una domanda banale, chi è il default gateway per i pc ?
Luca
Sicuro ho sbagliato qualcosa nella configurazione delle iptables
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Ciao,ZioManullo ha scritto:Ho creato fil file /etc/iptables.up.rules scrivendo
Codice: Seleziona tutto
*nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.10:3128 -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE COMMIT
mi sembra che tu abbia fatto tutto come da manuale, l'unico dubbio che ho riguarda le regole di iptables che ti ho lasciato in quote qui sopra. Se in console al proxy dai un
Codice: Seleziona tutto
iptables -L -nv
In ogni caso, per provare il proxy sai che se lo imposti su un browser dovresti vedere le entry nel file di log.
Per iptables prova a confrontare la conf con quella descritta qui http://www.tldp.org/HOWTO/TransparentProxy-6.html e riprova.
Come ti dicevo, il resto mi sembra tutto da manuale e corretto.
Rizio
P.S. Ricordati che, a fine giro, se non chiudi la navigazione sul router (o sul gw) per tutti tranne che per squid i tuoi client potranno navigare semplicemente aprendosi la netmask e puntando direttamente al router saltando squid.
Ultima modifica di Rizio il gio 13 giu , 2013 8:08 am, modificato 1 volta in totale.
Si vis pacem para bellum
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Ciao Emiliano,emiliano ha scritto:Premesso che non conosco Squid nemmeno io, una domanda mi viene spontanea e la rivolgo a Rizio che invece ne è esperto.
Indipendentemente dal tipo di proxy/firewall utilizzato, la modalità trasparent non dovrebbe lavorare a livello2? Se si perchè si impostano le 2 int su una subnet diversa?
Sono ignorante in materia ma dagli asa e pochi altri firewall/proxy che ho utilizzato la modalità trasparent solitamente prevede la sola assegnazione di un ip di management e sia i client, che il gateway si trovano nella setssa subnet, sbaglio?
Se ho detto una bestialità da ignorante Rizio perdonami
Emiliano
magari fossi esperto di qualcosa!!! A maggior ragione di qualcosa di informatico!!! Mi piacerebbe un sacchissimo!!! Però grazie mille, apprezzo la fiducia
Battute a parte e venendo a noi; squid può filtrare e lavorare anche layer 2 ma in questo caso il transparent proxy è effettuato graze al nat di iptables. E' quella la chiave di volta che effettua la redirezione delle richieste eseguite dai client che vengono buttate al default gw verso la porta di squid (la 3128) che le intercetta e le interpreta.
Poi, come ti dicevo, per quel che ho potuto vedere nell'usarlo lavora anche layer 2 filtrando i client e usando i mac nelle acl, però in questo caso non mi sono mai spinto tanto oltre ad un'acl di filtraggio.
Rizio
Si vis pacem para bellum
- emiliano
- Network Emperor
- Messaggi: 280
- Iscritto il: lun 19 nov , 2012 11:44 am
Vedi che sei espertoRizio ha scritto:Ciao Emiliano,emiliano ha scritto:Premesso che non conosco Squid nemmeno io, una domanda mi viene spontanea e la rivolgo a Rizio che invece ne è esperto.
Indipendentemente dal tipo di proxy/firewall utilizzato, la modalità trasparent non dovrebbe lavorare a livello2? Se si perchè si impostano le 2 int su una subnet diversa?
Sono ignorante in materia ma dagli asa e pochi altri firewall/proxy che ho utilizzato la modalità trasparent solitamente prevede la sola assegnazione di un ip di management e sia i client, che il gateway si trovano nella setssa subnet, sbaglio?
Se ho detto una bestialità da ignorante Rizio perdonami
Emiliano
magari fossi esperto di qualcosa!!! A maggior ragione di qualcosa di informatico!!! Mi piacerebbe un sacchissimo!!! Però grazie mille, apprezzo la fiducia
Battute a parte e venendo a noi; squid può filtrare e lavorare anche layer 2 ma in questo caso il transparent proxy è effettuato graze al nat di iptables. E' quella la chiave di volta che effettua la redirezione delle richieste eseguite dai client che vengono buttate al default gw verso la porta di squid (la 3128) che le intercetta e le interpreta.
Poi, come ti dicevo, per quel che ho potuto vedere nell'usarlo lavora anche layer 2 filtrando i client e usando i mac nelle acl, però in questo caso non mi sono mai spinto tanto oltre ad un'acl di filtraggio.
Rizio
Ora è tutto chiaro grazie, con i firewall con cui ho lavorato (oltre Cisco) la modalità transparent disabilita proprio le funzioni di routing, impedendo di fatto l'assegnazione degli indirizzi ip alle interfacce o la creazione di regole di nat. In altre parole il firewall gestisce l'instradamento dei pacchetti attraverso un'interfaccia piuttosto che un'altra esclusivamente attraverso la tabella mac, diventando di fatto una sorta di bridge. Rimangono poi in piedi ovviamente le security area e i permessi di accesso, permit/deny, con acl e controlli fatti per protocollo/IP.
Grazie del chiarimento.
Emiliano
- KEEP CALM AND CARRY ON -
CISCO CCNA - CCNA Voice - CCDA - CCNP R&S - CCDP Certified
MICROSOFT MCP Certified
CISCO CCNA - CCNA Voice - CCDA - CCNP R&S - CCDP Certified
MICROSOFT MCP Certified
-
- Cisco power user
- Messaggi: 121
- Iscritto il: mar 15 giu , 2010 4:07 pm
ciao,ZioManullo ha scritto:Per i client 192.168.2.10lucahornet ha scritto:Ciao,
non conosco Squid quindi non entro in merito alla programmazione ma una domanda banale, chi è il default gateway per i pc ?
Luca
Sicuro ho sbagliato qualcosa nella configurazione delle iptables
scusami, ho riletto il tuo post ed era tutto scritto ....
A me sembra che la parte networking sia corretta.
Un dubbio, il web proxy transparent lavora con le porte 80 e 443, per quel che so gli deve arrivare una richiesta su una di queste 2 porte, 80 e 443, terminarla e riaprirla con lui stesso come sorgente con una porta dettata dal NAT masquerading ed indirizzandole verso il "server" http o https .....sulle porte 80 e 443.
Correggetemi se sbaglio ...... io farei uno sniffing sulle porte eth0 ed eth1 del proxy se tutto funziona correttamente.
Luca
-
- n00b
- Messaggi: 13
- Iscritto il: mer 16 nov , 2011 10:10 am
Ho risolto disinstallando tutto e riconfigurando tutto da capo ^^
Ora Squid sembra funzionare Se riesco ad avere un pò di tempo libero posto la configurazione
Vorrei farvi qualche altra domanda..... dato che sono un giovane studente di informatica con ancora molto da imparare
1- Se configurassi la macchina etichettata "Proxy-Dhcp" in modo che assegni automaticamente gli indirizzi IP agli host..... ci può essere "qualche conflitto" tra lei e il router nell'assegnamento degli indirizzi IP ?
Cioè gli host che non hanno un indirizzo statico da chi ricevono in quel caso l'indirizzo IP ? Dalla macchina "Proxy-Dhcp" o dal router ?
2- Per una lan composta da 69 PC come cablereste la rete ? Avevo pensato ad una cosa del genere
Dato che ho anche il compito di scegliere il "prodotto" (quindi switch, router) avete qualche modello da consigliarmi ?
Lo swtich3 vabene con 5 porte Gigabit Ethernet ?
3- Il PC che svolgerà il ruolo di Proxy & Dhcp, con le seguenti caratteriestiche hardware
Processore 1 Ghz x86
1 GiB di RAM
100 GiB di spazio libero su disco
Due schede di rete
riesce secondo voi a gestire il tutto ?
Grazie dell'aiuto Siete stati gentilissimi
Ora Squid sembra funzionare Se riesco ad avere un pò di tempo libero posto la configurazione
Vorrei farvi qualche altra domanda..... dato che sono un giovane studente di informatica con ancora molto da imparare
1- Se configurassi la macchina etichettata "Proxy-Dhcp" in modo che assegni automaticamente gli indirizzi IP agli host..... ci può essere "qualche conflitto" tra lei e il router nell'assegnamento degli indirizzi IP ?
Cioè gli host che non hanno un indirizzo statico da chi ricevono in quel caso l'indirizzo IP ? Dalla macchina "Proxy-Dhcp" o dal router ?
2- Per una lan composta da 69 PC come cablereste la rete ? Avevo pensato ad una cosa del genere
Dato che ho anche il compito di scegliere il "prodotto" (quindi switch, router) avete qualche modello da consigliarmi ?
Lo swtich3 vabene con 5 porte Gigabit Ethernet ?
3- Il PC che svolgerà il ruolo di Proxy & Dhcp, con le seguenti caratteriestiche hardware
Processore 1 Ghz x86
1 GiB di RAM
100 GiB di spazio libero su disco
Due schede di rete
riesce secondo voi a gestire il tutto ?
Grazie dell'aiuto Siete stati gentilissimi
-
- n00b
- Messaggi: 13
- Iscritto il: mer 16 nov , 2011 10:10 am
UP Qualcuno che può darmi una mano ?
-
- Cisco power user
- Messaggi: 121
- Iscritto il: mar 15 giu , 2010 4:07 pm
Ciao,
per configurare correttamente una rete magari sapere budget, esigenze particolari, eventuali esigenze di integrazione futura con wifi, server AD, divisione della rete in vlan potrebbe influire con le scelte.
Da come vedo, anche perché hai scelto un proxy free mi vien da pensare che non hai grosse esigenze e budget quindi :
1) il DHCP se configurato a lavorare solo sulla eth0 non dovrebbe dare conflitti visto che lavora in L2 ed il proxy blocca blocca la propagazione tra le 2 reti.
2)Penso che potrebbe andare bene, ma se per lo Switch 5 porte intendi uno di quelli piccoli molto entri level a mio avviso potresti anche tralasciarlo ed utilizzare solo 2 Switch con 2 porte G l'uno anche perché con quegli Switch non penso che hai la possibilità di lavorare anche il L3 o fare grosse programmazioni, etherchannel etc, hanno un Throughput basso e li ritengo meno affidabili di un discreto Switch HP, Cisco classico.
Ovvero io o metterei uno Switch abbastanza buono ed in tal caso lo stesso Switch potrebbe fare da server DHCP ma andrebbe a complicare ed ad aumentare le spese per la rete in maniera abbastanza pesante o lascerei solo gli Switch 1 e 2 collegati tra loro. Anche perché tra le 2 scelte hai lo stesso numero di punti di fault
Poi sulla scelta potrebbe influire sulle scelte riguardo wifi e telefoni voip, in quel caso sarebbe da valutare se utilizzare switch poe ed in caso affermativo io penserei seriamente all'utilizzo di vlan quindi di conseguenza piu' istanze dhcp da configurare sul proxy .
3)Qua non ti so aiutare.
Prendi tutto con beneficio di inventario, non ho grande esperienza e sicuramente gente piu' competente spero che mi corregga se ho detto inesattezze.
P.S. su una rete da 69 pc io valuterei di mettere un bel UTM al posto del proxy in modo da avere un eventuale IPS, web filtering, proxy, AV e vari sevizi per proteggere e gestire la rete, ma anche qua dipende dal budget e dalle esigenze.
Ciao
Luca
per configurare correttamente una rete magari sapere budget, esigenze particolari, eventuali esigenze di integrazione futura con wifi, server AD, divisione della rete in vlan potrebbe influire con le scelte.
Da come vedo, anche perché hai scelto un proxy free mi vien da pensare che non hai grosse esigenze e budget quindi :
1) il DHCP se configurato a lavorare solo sulla eth0 non dovrebbe dare conflitti visto che lavora in L2 ed il proxy blocca blocca la propagazione tra le 2 reti.
2)Penso che potrebbe andare bene, ma se per lo Switch 5 porte intendi uno di quelli piccoli molto entri level a mio avviso potresti anche tralasciarlo ed utilizzare solo 2 Switch con 2 porte G l'uno anche perché con quegli Switch non penso che hai la possibilità di lavorare anche il L3 o fare grosse programmazioni, etherchannel etc, hanno un Throughput basso e li ritengo meno affidabili di un discreto Switch HP, Cisco classico.
Ovvero io o metterei uno Switch abbastanza buono ed in tal caso lo stesso Switch potrebbe fare da server DHCP ma andrebbe a complicare ed ad aumentare le spese per la rete in maniera abbastanza pesante o lascerei solo gli Switch 1 e 2 collegati tra loro. Anche perché tra le 2 scelte hai lo stesso numero di punti di fault
Poi sulla scelta potrebbe influire sulle scelte riguardo wifi e telefoni voip, in quel caso sarebbe da valutare se utilizzare switch poe ed in caso affermativo io penserei seriamente all'utilizzo di vlan quindi di conseguenza piu' istanze dhcp da configurare sul proxy .
3)Qua non ti so aiutare.
Prendi tutto con beneficio di inventario, non ho grande esperienza e sicuramente gente piu' competente spero che mi corregga se ho detto inesattezze.
P.S. su una rete da 69 pc io valuterei di mettere un bel UTM al posto del proxy in modo da avere un eventuale IPS, web filtering, proxy, AV e vari sevizi per proteggere e gestire la rete, ma anche qua dipende dal budget e dalle esigenze.
Ciao
Luca
-
- n00b
- Messaggi: 13
- Iscritto il: mer 16 nov , 2011 10:10 am
Ciao! Innanzitutto grazie della risposta
Per quanto riguarda la rete niente wifi o divisione della rete in vlan.
Per quanto riguarda il budget non ci sono limiti.
Per quanto riguarda gli Switch vorrei inserirne tre come in figura.....
Consigli su marca e modello per ognuno dei tre ?
Aspettiamo risposte da qualcuno di più esperto
Per quanto riguarda la rete niente wifi o divisione della rete in vlan.
Per quanto riguarda il budget non ci sono limiti.
Per quanto riguarda gli Switch vorrei inserirne tre come in figura.....
Consigli su marca e modello per ognuno dei tre ?
Aspettiamo risposte da qualcuno di più esperto