Analizzare rete

[ZioManullo]

Salve a tutti

Mi servirebbe un software (opensource) per analizzare una rete LAN (50 pc su cui gira Ubuntu 12.04).

Il software dovrebbe salvarmi i siti visitati da ogni PC (quindi il PC deve essere riconoscibile dagli altri, magari tramite Indirizzo MAC), l'orario e il giorno in cui il sito è stato visitato

Grazie

[Rizio]

Usa un proxy. Quello che chiedi tu (se parlimo di navigazione web) è il lavoro di un proxy.
Squid è tuo amico nella sua marea di forme e di incarnazioni sviluppate sul web.

Rizio

[ZioManullo]

Salve a tutti,

sono disperato..... pensavo di aver configurato correttamente Squid in modalità Trasparente ma credo proprio di no dato che il file /var/log/squid3/access.log rimane vuoto :muro:

Vi spiego come ho configurato la rete



Il pc al centro svolge il ruolo di Proxy & Dhcp (fino ad ora sono arrivato a configurare il proxy --> Squid modalità Transparent).

Esso è dotato di due schede di rete

eht1 che collega la macchina alla LAN
eht0 che collega invece la macchina al router.

Le ho configurate in questo modo

Codice: Seleziona tutto

auto eth0
iface eth0 inet static
address 192.168.1.10
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1

Codice: Seleziona tutto

auto eth1
iface eth1 inet static
address 192.168.2.10
netmask 255.255.255.0
network 192.168.2.0
broadcast 192.168.2.255

Sono andato poi ad editare il file /etc/squid3/squid.conf aggiungendo la parola trasparent ad http_port 3128 quindi ottengo

Codice: Seleziona tutto

http_port 3128 transparent

Ho aggiunto poi

Codice: Seleziona tutto

acl lan src 192.168.2.0/24

sotto la riga acl localhost src 127.0.0.1/32 ::1

Ho aggiunto la riga

Codice: Seleziona tutto

http_access allow lan

sopra ad http_access deny all

Poi ho editato il file /etc/sysctl.conf decommentando le righe:

Codice: Seleziona tutto

net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1

Ho creato fil file /etc/iptables.up.rules scrivendo

Codice: Seleziona tutto

*nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.10:3128 -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE COMMIT

Editato il file /etc/rc.local aggiungendo

Codice: Seleziona tutto

iptables -t nat -A POSTROUTING -s 192.168.2.0/24 –o eth0 -j MASQUERADE

Per provare poi ho settato un client

Codice: Seleziona tutto

IP address : 192.168.2.11 
Netmask: 255.255.255.0
Gateway: 192.168.2.10
DNS 8.8.8.8

Navigo anche se stoppo Squid..... e il file access.log rimane vuoto

[lucahornet]

Ciao,

non conosco Squid quindi non entro in merito alla programmazione ma una domanda banale, chi è il default gateway per i pc ?

Luca

[emiliano]

Premesso che non conosco Squid nemmeno io, una domanda mi viene spontanea e la rivolgo a Rizio che invece ne è esperto.
Indipendentemente dal tipo di proxy/firewall utilizzato, la modalità trasparent non dovrebbe lavorare a livello2? Se si perchè si impostano le 2 int su una subnet diversa?
Sono ignorante in materia ma dagli asa e pochi altri firewall/proxy che ho utilizzato la modalità trasparent solitamente prevede la sola assegnazione di un ip di management e sia i client, che il gateway si trovano nella setssa subnet, sbaglio?
Se ho detto una bestialità da ignorante Rizio perdonami
Emiliano

[ZioManullo]

Ciao,

non conosco Squid quindi non entro in merito alla programmazione ma una domanda banale, chi è il default gateway per i pc ?

Luca

Per i client 192.168.2.10

Sicuro ho sbagliato qualcosa nella configurazione delle iptables

[Rizio]

Ho creato fil file /etc/iptables.up.rules scrivendo

Codice: Seleziona tutto

*nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.10:3128 -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE COMMIT

Ciao,
mi sembra che tu abbia fatto tutto come da manuale, l'unico dubbio che ho riguarda le regole di iptables che ti ho lasciato in quote qui sopra. Se in console al proxy dai un

Codice: Seleziona tutto

iptables -L -nv

cosa ti dice? Puoi postare il risultato?
In ogni caso, per provare il proxy sai che se lo imposti su un browser dovresti vedere le entry nel file di log.
Per iptables prova a confrontare la conf con quella descritta qui http://www.tldp.org/HOWTO/TransparentProxy-6.html e riprova.

Come ti dicevo, il resto mi sembra tutto da manuale e corretto.
Rizio


P.S. Ricordati che, a fine giro, se non chiudi la navigazione sul router (o sul gw) per tutti tranne che per squid i tuoi client potranno navigare semplicemente aprendosi la netmask e puntando direttamente al router saltando squid.

[Rizio]

Premesso che non conosco Squid nemmeno io, una domanda mi viene spontanea e la rivolgo a Rizio che invece ne è esperto.
Indipendentemente dal tipo di proxy/firewall utilizzato, la modalità trasparent non dovrebbe lavorare a livello2? Se si perchè si impostano le 2 int su una subnet diversa?
Sono ignorante in materia ma dagli asa e pochi altri firewall/proxy che ho utilizzato la modalità trasparent solitamente prevede la sola assegnazione di un ip di management e sia i client, che il gateway si trovano nella setssa subnet, sbaglio?
Se ho detto una bestialità da ignorante Rizio perdonami
Emiliano

Ciao Emiliano,
magari fossi esperto di qualcosa!!! A maggior ragione di qualcosa di informatico!!! Mi piacerebbe un sacchissimo!!! Però grazie mille, apprezzo la fiducia

Battute a parte e venendo a noi; squid può filtrare e lavorare anche layer 2 ma in questo caso il transparent proxy è effettuato graze al nat di iptables. E' quella la chiave di volta che effettua la redirezione delle richieste eseguite dai client che vengono buttate al default gw verso la porta di squid (la 3128) che le intercetta e le interpreta.

Poi, come ti dicevo, per quel che ho potuto vedere nell'usarlo lavora anche layer 2 filtrando i client e usando i mac nelle acl, però in questo caso non mi sono mai spinto tanto oltre ad un'acl di filtraggio.

Rizio

[emiliano]

Premesso che non conosco Squid nemmeno io, una domanda mi viene spontanea e la rivolgo a Rizio che invece ne è esperto.
Indipendentemente dal tipo di proxy/firewall utilizzato, la modalità trasparent non dovrebbe lavorare a livello2? Se si perchè si impostano le 2 int su una subnet diversa?
Sono ignorante in materia ma dagli asa e pochi altri firewall/proxy che ho utilizzato la modalità trasparent solitamente prevede la sola assegnazione di un ip di management e sia i client, che il gateway si trovano nella setssa subnet, sbaglio?
Se ho detto una bestialità da ignorante Rizio perdonami
Emiliano

Ciao Emiliano,
magari fossi esperto di qualcosa!!! A maggior ragione di qualcosa di informatico!!! Mi piacerebbe un sacchissimo!!! Però grazie mille, apprezzo la fiducia

Battute a parte e venendo a noi; squid può filtrare e lavorare anche layer 2 ma in questo caso il transparent proxy è effettuato graze al nat di iptables. E' quella la chiave di volta che effettua la redirezione delle richieste eseguite dai client che vengono buttate al default gw verso la porta di squid (la 3128) che le intercetta e le interpreta.

Poi, come ti dicevo, per quel che ho potuto vedere nell'usarlo lavora anche layer 2 filtrando i client e usando i mac nelle acl, però in questo caso non mi sono mai spinto tanto oltre ad un'acl di filtraggio.

Rizio

Vedi che sei esperto
Ora è tutto chiaro grazie, con i firewall con cui ho lavorato (oltre Cisco) la modalità transparent disabilita proprio le funzioni di routing, impedendo di fatto l'assegnazione degli indirizzi ip alle interfacce o la creazione di regole di nat. In altre parole il firewall gestisce l'instradamento dei pacchetti attraverso un'interfaccia piuttosto che un'altra esclusivamente attraverso la tabella mac, diventando di fatto una sorta di bridge. Rimangono poi in piedi ovviamente le security area e i permessi di accesso, permit/deny, con acl e controlli fatti per protocollo/IP.
Grazie del chiarimento.

Emiliano

[lucahornet]

Ciao,

non conosco Squid quindi non entro in merito alla programmazione ma una domanda banale, chi è il default gateway per i pc ?

Luca

Per i client 192.168.2.10

Sicuro ho sbagliato qualcosa nella configurazione delle iptables

ciao,
scusami, ho riletto il tuo post ed era tutto scritto ....

A me sembra che la parte networking sia corretta.
Un dubbio, il web proxy transparent lavora con le porte 80 e 443, per quel che so gli deve arrivare una richiesta su una di queste 2 porte, 80 e 443, terminarla e riaprirla con lui stesso come sorgente con una porta dettata dal NAT masquerading ed indirizzandole verso il "server" http o https .....sulle porte 80 e 443.

Correggetemi se sbaglio ...... io farei uno sniffing sulle porte eth0 ed eth1 del proxy se tutto funziona correttamente.

Luca

[ZioManullo]

Ho risolto disinstallando tutto e riconfigurando tutto da capo ^^

Ora Squid sembra funzionare Se riesco ad avere un pò di tempo libero posto la configurazione

Vorrei farvi qualche altra domanda..... dato che sono un giovane studente di informatica con ancora molto da imparare

1- Se configurassi la macchina etichettata "Proxy-Dhcp" in modo che assegni automaticamente gli indirizzi IP agli host..... ci può essere "qualche conflitto" tra lei e il router nell'assegnamento degli indirizzi IP ?
Cioè gli host che non hanno un indirizzo statico da chi ricevono in quel caso l'indirizzo IP ? Dalla macchina "Proxy-Dhcp" o dal router ?

2- Per una lan composta da 69 PC come cablereste la rete ? Avevo pensato ad una cosa del genere



Dato che ho anche il compito di scegliere il "prodotto" (quindi switch, router) avete qualche modello da consigliarmi ?
Lo swtich3 vabene con 5 porte Gigabit Ethernet ?

3- Il PC che svolgerà il ruolo di Proxy & Dhcp, con le seguenti caratteriestiche hardware

Processore 1 Ghz x86
1 GiB di RAM
100 GiB di spazio libero su disco
Due schede di rete

riesce secondo voi a gestire il tutto ?

Grazie dell'aiuto Siete stati gentilissimi

[ZioManullo]

UP Qualcuno che può darmi una mano ?

[lucahornet]

Ciao,

per configurare correttamente una rete magari sapere budget, esigenze particolari, eventuali esigenze di integrazione futura con wifi, server AD, divisione della rete in vlan potrebbe influire con le scelte.

Da come vedo, anche perché hai scelto un proxy free mi vien da pensare che non hai grosse esigenze e budget quindi :

1) il DHCP se configurato a lavorare solo sulla eth0 non dovrebbe dare conflitti visto che lavora in L2 ed il proxy blocca blocca la propagazione tra le 2 reti.

2)Penso che potrebbe andare bene, ma se per lo Switch 5 porte intendi uno di quelli piccoli molto entri level a mio avviso potresti anche tralasciarlo ed utilizzare solo 2 Switch con 2 porte G l'uno anche perché con quegli Switch non penso che hai la possibilità di lavorare anche il L3 o fare grosse programmazioni, etherchannel etc, hanno un Throughput basso e li ritengo meno affidabili di un discreto Switch HP, Cisco classico.
Ovvero io o metterei uno Switch abbastanza buono ed in tal caso lo stesso Switch potrebbe fare da server DHCP ma andrebbe a complicare ed ad aumentare le spese per la rete in maniera abbastanza pesante o lascerei solo gli Switch 1 e 2 collegati tra loro. Anche perché tra le 2 scelte hai lo stesso numero di punti di fault
Poi sulla scelta potrebbe influire sulle scelte riguardo wifi e telefoni voip, in quel caso sarebbe da valutare se utilizzare switch poe ed in caso affermativo io penserei seriamente all'utilizzo di vlan quindi di conseguenza piu' istanze dhcp da configurare sul proxy .

3)Qua non ti so aiutare.

Prendi tutto con beneficio di inventario, non ho grande esperienza e sicuramente gente piu' competente spero che mi corregga se ho detto inesattezze.

P.S. su una rete da 69 pc io valuterei di mettere un bel UTM al posto del proxy in modo da avere un eventuale IPS, web filtering, proxy, AV e vari sevizi per proteggere e gestire la rete, ma anche qua dipende dal budget e dalle esigenze.

Ciao
Luca

[ZioManullo]

Ciao! Innanzitutto grazie della risposta

Per quanto riguarda la rete niente wifi o divisione della rete in vlan.

Per quanto riguarda il budget non ci sono limiti.

Per quanto riguarda gli Switch vorrei inserirne tre come in figura.....

Consigli su marca e modello per ognuno dei tre ?

Aspettiamo risposte da qualcuno di più esperto