Date: Thu, 6 May 2004 10:33:45 +0200 (CEST) From: Erik Norgaard <none@norgaard--locolomo.org.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: detektere usædvanlige trafik-mønstre
On Wed, 5 May 2004, Thomas Hjorth wrote:
> Jeg har bikset noget perl/mysql-kode sammen, som laver accounting over
> de pf-regler som jeg nu giver en bestemt label, hvis du ikke allerede
> har regler for hvad folk må lave ud gennem firewall, kunne du lave
> nogle, smide labels på dem (lettere at arbejde med) også parse og gemme
> dataene fra pfctl -s labels.
> Skulle nogen have et bedre forslag er jeg også meget interesseret i at
> høre det, og skulle nogle være interesseret i mit slamhackkode, og evt.
> være med til at videreudvikle det, så sig endelig til.
Jeg vil gerne se din slamhackkode. Jeg har spurgt på misg@openbsd.org
hvordan jeg kunne lave accounting og bruge statefull packet filter
samtidig.
Problemet er at umiddelbart bliver der da kun talt upload. Pakker
bliver talt for den regel de matcher men returpakkerne matcher
ingen regler, de får bare lov at komme igennem via reglen i state
tabellen.
Jeg skal have talt både up- og download.
Jeg fik at vide at labels ville løse det problem, men jeg har ikke
et clue til hvordan det skal gøres. Hvis du har noget slamhackkode,
en stump output fra pfctl og et par sample regler der ikke er hem-
melige ville det være fedt hvis du vil dele.
Med ip-filter er det nemt med 'count' der kan jeg få både up-
down- og totale for grupper osv. Det er det jeg pt. bruger, men
jeg er ved at se på muligheden for at skifte til pf.
Mvh Erik
GnuPG Key: http://www.locolomo.org/home/norgaard/norgaard.gpg.asc
pub 1024D/B02CC311 2004-04-05 Erik Norgaard <none@norgaard--locolomo.org.lh.bsd-dk.dk>
Key fingerprint = 6C11 B9B1 52BD F16D 34AD 9893 D3EC E6DB B02C C311
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:40 CET