# monitorare il traffico internet

## pistodj

Salve!!

Mi chiedevo se qualcuno di voi mi sa consigliare un buon programma di monitoraggio per il traffico internet in una rete locale lan avente un server che distribuisce l'accesso a internet.

ho gi' provato a smanettare in google ma nn sono riuscito a trovare quasi nulla...

Grazie!!

----------

## gutter

Cosa intendi per monitorare? 

Spiega meglio cosa devi fare.

----------

## pistodj

devo essere in grado di sapere che connessioni sono state stabilite:

-da che utente o ip

-quando

-dove si e' connesso

- come (porta)

esempio se tizio si e' scaricato 50 mb di mp3 io tramite dei registri voglio sapere se lo ha fatto!!

per cui se un giorno devo sapere se 4 settimane fa un tizio ha dei download o altro io devo essere in grado di dimostrarlo!!

----------

## gutter

Non penso che tu lo possa fare semplicemenete con usa solo applicazione, penso che ti serva almeno un firewall ed un proxy di livello applicativo che faccia il log. Tutto dipende da che protocolli vuoi controllare.

----------

## pistodj

a me interessa l'http e https e ch più ne ha più ne metta!!

A me infine interessa la sicurezza della rete interna e per renderla sicura devo essere in grado di monitorarla!!

cmq che proxy applicativo mi consigli e che firewall??

----------

## hellraiser

per il firewall senz altro iptables...configurato bene, con le giuste regole che ti logghi quel che ti interessa...

per il proxy non so se squid possa andare bene...bho  :Sad: 

----------

## pistodj

iptable già lo conosco ma con cosa lo configuro?? ora già ce l'ho ma mi parte con uno script di bash ma in quanto a log nn so nulla!!

conosci programmi che gestiscano la configurazione di esso via grazica o browser in modo serio??

----------

## hellraiser

ci sarebbe shorewall, di cui tutti ne parlano bene...ma sinceramente io non l ho mai provato..preferisco impostarmi iptables tutto da solo, in modo da saper in modo preciso quel che faccia

----------

## pistodj

all'ora ci do un'occhiata!!

cmq se vi posto il mio script di iptables potete darci un'occhiata?? Tanto per vedere se ci sono gravi lacune!!

----------

## hellraiser

si ok prova a postarlo...cosi vediamo di darti una mano...

----------

## klaudyo

Ho letto di sfuggita tutto il thread, quindi forse do un suggerimento sbagliato. Ad ogni modo per gestire la rete è utile anche SNMP che è un protocollo per la gestione di rete. 

Su Interent si troba molta documentazione e quello che serve è in Portage. Non so, giusto per avere qualcosa in più da valutare....

----------

## pistodj

ecco il mio script di iptables:

tenete presente che il mio server ha due schede di rete una per collegarsi al router e una per collegarsi alla rete locale

```
#! /bin/sh

ETH_INTERNET=eth0

ETH_LAN=eth1

SUBNET_LAN=192.100.12.0/255.255.255.0

IPTABLES=iptables

iptables -F FORWARD

iptables -F INPUT

iptables -F OUTPUT

iptables  -t nat -F POSTROUTING

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

#------------------------------------------------------------------------------

#-------------- CONTROLLI GENERALI --------------------------------------------

#------------------------------------------------------------------------------

#Se mi entrano in input pacchetti con indirizzi di rete locali dall'interfaccia di internet scartali!!

iptables -A INPUT   -s $SUBNET_LAN -i $ETH_INTERNET -j DROP

iptables -A FORWARD -s $SUBNET_LAN -i $ETH_INTERNET -j DROP

#Permetto di entrare nel server solo dalla rete locale (scarto il resto)

iptables -A INPUT -p tcp --destination-port 1024: -s ! $SUBNET_LAN  -m state --state RELATED,ESTABLISHED   -j ACCEPT

iptables -A INPUT -p tcp --destination-port 1024: -i $ETH_INTERNET -m state --state RELATED,ESTABLISHED  -j ACCEPT

iptables -A INPUT -m unclean -j DROP

iptables -A FORWARD -m unclean -j DROP

#Accettiamo per il postfix e cose varie se conoscete metodi meno rischiosi fatemi sapere grazie!!

iptables -A OUTPUT -p tcp --destination-port 0: -s ! $SUBNET_LAN  -m state --state NEW,RELATED,ESTABLISHED       -j ACCEPT

#------------------------------------------------------------------------------

#--------------      MASQUERADING      ----------------------------------------

#------------------------------------------------------------------------------

iptables -t nat -A POSTROUTING -p tcp -o $ETH_INTERNET  -j MASQUERADE

#FTP

iptables -A FORWARD -i eth1 -o eth0 -p tcp --destination-port 20  -m state --state NEW,RELATED,ESTABLISHED  -j ACCEPT

iptables -A FORWARD -i eth1 -o eth0 -p tcp --destination-port 21  -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -i eth0 -o eth1 -p tcp --source-port 20  -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -i eth0 -o eth1 -p tcp --source-port 21  -m state --state RELATED,ESTABLISHED -j ACCEPT

#------------------------------------------------------------------------------

#---  VERIFICATE SE HANNO SENSO A ME SEMBRANO INUTILI OLTRE CHE RISCHIOSE ----

#------------------------------------------------------------------------------

ricordo che però se nn le applicavo X nn mi partiva.

iptables -A FORWARD -i eth1 -o eth0 -p tcp  --source-port 1024: --destination-port 1024: -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -i eth0 -o eth1  -p tcp  --source-port 1024: --destination-port 1024: -m state        --state RELATED,ESTABLISHED  -j ACCEPT

#------------------------------------------------------------------------------

#--------------    FORWARD     ------------------------------------------------

#------------------------------------------------------------------------------

#Socket

iptables -A INPUT  -p tcp  -i lo   -j ACCEPT

#http

iptables -A FORWARD  -p tcp --source-port 80 -d 192.100.12.159       -i eth0 -m state    --state RELATED,ESTABLISHED  -j ACCEPT

iptables -A FORWARD  -p tcp --source-port 80 -d 192.100.12.28       -i eth0 -m state    --state RELATED,ESTABLISHED  -j ACCEPT

iptables -A FORWARD  -p tcp --source-port 80 -d 192.100.12.32        -i eth0 -m state    --state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD  -p tcp --destination-port 80 -s 192.100.12.159    -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD  -p tcp --destination-port 80 -s 192.100.12.28    -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD  -p tcp --destination-port 80 -s 192.100.12.32    -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

#https

iptables -A FORWARD  -p tcp --destination-port 443 -s 192.100.12.159 -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD  -p tcp --destination-port 443 -s 192.100.12.27 -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD  -p tcp --destination-port 443 -s 192.100.12.28 -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD  -p tcp --destination-port 443 -s 192.100.12.6  -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD  -p tcp --source-port 443  -d 192.100.12.159 -i eth0   -m state        --state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD  -p tcp --source-port 443 -d 192.100.12.27  -i eth0    -m state        --state RELATED,ESTABLISHED  -j ACCEPT

iptables -A FORWARD  -p tcp --source-port 443 -d 192.100.12.28  -i eth0    -m state        --state RELATED,ESTABLISHED  -j ACCEPT

iptables -A FORWARD  -p tcp --source-port 443 -d 192.100.12.6  -i eth0      -m state        --state RELATED,ESTABLISHED  -j ACCEPT

#------------------------------------------------------------------------------

#--------------    INPUT/OUTPUT     -------------------------------------------

#------------------------------------------------------------------------------

# E-Mail

iptables -A INPUT    -p tcp --destination-port 25    -s 192.100.12.159   -j ACCEPT

iptables -A INPUT    -p tcp --destination-port 25    -s 192.100.12.28    -j ACCEPT

iptables -A INPUT    -p tcp --destination-port 25    -s 192.100.12.32    -j ACCEPT

iptables -A INPUT    -p tcp --destination-port 110    -s 192.100.12.159     -j ACCEPT

iptables -A INPUT    -p tcp --destination-port 110   -s 192.100.12.28      -j ACCEPT

iptables -A INPUT    -p tcp --destination-port 110    -s 192.100.12.32      -j ACCEPT

#Mail

iptables -A INPUT    -p tcp --source-port 25    -d 192.100.12.159  -j ACCEPT

iptables -A INPUT    -p tcp --source-port 25    -d 192.100.12.28   -j ACCEPT

iptables -A INPUT    -p tcp --source-port 25    -d 192.100.12.32   -j ACCEPT

iptables -A INPUT    -p tcp --source-port 110    -d 192.100.12.159    -j ACCEPT

iptables -A INPUT    -p tcp --source-port 110   -d 192.100.12.28     -j ACCEPT

iptables -A INPUT    -p tcp --source-port 110    -d 192.100.12.32     -j ACCEPT

#-----------------------------------------------------------------------------------------------------------------------------------

#---------------------------------------------     ICMP     ------------------------------------------------------------------------

#-----------------------------------------------------------------------------------------------------------------------------------

#iptables -A FORWARD  -p icmp -m icmp --icmp-type 8 -m length --length 128:65535 -j DROP

#-----------------------------------------------------------------------------------------------------------------------------------

#---------------------------------------------     SAMBA ------------------------------------------------------------------------

#-----------------------------------------------------------------------------------------------------------------------------------

#ssh

iptables -A INPUT -p tcp --destination-port 22 -s 192.100.12.159 -j ACCEPT

iptables -A INPUT -p udp --destination-port 22 -s 192.100.12.159 -j ACCEPT

iptables -A INPUT -p tcp --source-port 22 -d 192.100.12.159 -j ACCEPT

iptables  -A INPUT -p udp --source-port 22 -d 192.100.12.159 -j ACCEPT

#telnet

iptables -A INPUT -p tcp --destination-port 23 -s 192.100.12.159 -j ACCEPT

iptables -A INPUT -p udp --destination-port 23 -s 192.100.12.159 -j ACCEPT

iptables -A INPUT -p tcp --source-port 23 -d 192.100.12.159 -j ACCEPT

iptables  -A INPUT -p udp --source-port 23 -d 192.100.12.159 -j ACCEPT

#mail

#iptables -A INPUT -p tcp --destination-port 110  -j ACCEPT

#iptables -A INPUT -p tcp --source-port 110  -j ACCEPT

##iptables -A INPUT -p udp --destination-port 110  -j ACCEPT

#iptables -A INPUT -p udp --source-port 110  -j ACCEPT

#iptables -A INPUT -p tcp --destination-port 25  -j ACCEPT

#iptables -A INPUT -p tcp --source-port 25  -j ACCEPT

#iptables -A INPUT -p udp --destination-port 25  -j ACCEPT

#iptables -A INPUT -p udp --source-port 25  -j ACCEPT

#dns

iptables -A INPUT -p tcp --destination-port 53  -j ACCEPT

iptables -A INPUT -p tcp --source-port 53  -j ACCEPT

iptables -A INPUT -p udp --destination-port 53  -j ACCEPT

iptables -A INPUT -p udp --source-port 53  -j ACCEPT

iptables -A FORWARD -p tcp --source-port 53 -j ACCEPT

iptables -A FORWARD -p tcp --destination-port 53 -j ACCEPT

iptables -A FORWARD -p udp --source-port 53 -j ACCEPT

iptables -A FORWARD -p udp --destination-port 53 -j ACCEPT

iptables -A OUTPUT -p tcp --destination-port 53    -j ACCEPT

iptables -A OUTPUT -p tcp --source-port 53   -j ACCEPT

iptables -A OUTPUT -p udp --destination-port 53    -j ACCEPT

iptables -A OUTPUT -p udp --source-port 53   -j ACCEPT

#SAMBA

iptables -A INPUT  -p udp --destination-port 137 -s $SUBNET_LAN  -i eth1 -j ACCEPT

iptables -A INPUT  -p udp --destination-port 138 -s $SUBNET_LAN  -i eth1 -j ACCEPT

iptables -A INPUT  -p tcp --destination-port 139 -s $SUBNET_LAN  -i eth1  -j ACCEPT

iptables -A INPUT  -p tcp --destination-port 445  -s $SUBNET_LAN -i eth1 -j ACCEPT

#webmin

iptables -A INPUT  -p tcp -s $SUBNET_LAN --destination-port 10000 -i eth1 -j ACCEPT

iptables -A INPUT  -p udp -s $SUBNET_LAN --destination-port 10000 -i eth1 -j ACCEPT

iptables -A INPUT  -p tcp -d $SUBNET_LAN --source-port 10000 -i eth1 -j ACCEPT

iptables -A INPUT  -p udp -d $SUBNET_LAN --source-port 10000 -i eth1 -j ACCEPT

#------------------------------------------------------------------------------

#--------------    OUTPUT     -------------------------------------------------

#------------------------------------------------------------------------------

iptables -A OUTPUT -p tcp --destination-port 25    -j ACCEPT

iptables -A OUTPUT -p tcp --destination-port 110   -j ACCEPT

iptables -A OUTPUT -p tcp --source-port 25    -j ACCEPT

iptables -A OUTPUT -p tcp --source-port 110   -j ACCEPT

iptables -A OUTPUT -p tcp --destination-port 20    -j ACCEPT

iptables -A OUTPUT -p tcp --destination-port 21   -j ACCEPT

iptables -A OUTPUT -p tcp --source-port 20    -j ACCEPT

iptables -A OUTPUT -p tcp --source-port 21   -j ACCEPT

iptables -A OUTPUT  -p udp --source-port 137 -d $SUBNET_LAN -o $ETH_LAN -j ACCEPT

iptables -A OUTPUT  -p udp --source-port 138 -d $SUBNET_LAN -o $ETH_LAN -j ACCEPT

iptables -A OUTPUT  -p tcp --source-port 139 -d $SUBNET_LAN -o $ETH_LAN -j ACCEPT

iptables -A OUTPUT -p tcp --source-port 22 -d 192.100.12.159 -j ACCEPT

iptables  -A OUTPUT -p udp --source-port 22 -d 192.100.12.159 -j ACCEPT

iptables -A OUTPUT -p tcp --source-port 23 -d 192.100.12.159 -j ACCEPT

iptables  -A OUTPUT -p udp --source-port 23 -d 192.100.12.159 -j ACCEPT

iptables -A OUTPUT  -p tcp -d $SUBNET_LAN --source-port 10000 -j ACCEPT

iptables -A OUTPUT  -p udp -d $SUBNET_LAN --source-port 10000 -j ACCEPT
```

Grazie!!

Edit gutter: Per favore usiamo i bbcode

----------

## drizztbsd

uhm ntop faceva qualcosa di simile credo (non lo uso da troppo tempo)  :Cool: 

oppure sì un classico iptables logging magari con query via web in php

----------

## Truzzone

Anch'io sono interessato a qualcosa di simile, cioè voglio riuscire ad implementare un "registro" del tipo ip_locale-sito_o_servizio_richiesto, in modo tale che anche dopo un mese riesca a risalire dove è chi utilizzava quell'indirizzo ip_locale, è fattibile senza l'ausilio di un proxy? È possibile farlo con il semplice iptables (link howto)?  :Question: 

Ho provato ntop, però da quello che ho visto non ha un'history di un determinato ip_locale, ma solamente quello che sta visitando in quel preciso momento, se non ricordo male  :Confused: 

Ciao by Truzzone  :Smile: 

----------

## federico

Come programmi esistono anche mrtg e darkstat, non so se fanno al caso vostro. Eventualmente iptables coi log segna tutto

Federico

----------

## FonderiaDigitale

puoi usare squid come transparent proxy, nella box che fa da gateway.

ricordati di usare USE=snmp di modo tale da poterlo monitorare dall'esterno.

usando snmp, puoi monitorarlo con cacti per fare dei grafici tipo questo http://stats.it.gac.edu/cacti/graph.php?local_graph_id=6293&rra_id=all&type=tree

per quanto riguarda ip-access-ore ecc, ti servono degli strumenti come questi: http://merlino.merlinobbs.net/Squid-Book/HTML/sec-strumenti-di-analisi-dei-log.html

----------

## .:chrome:.

 *pistodj wrote:*   

> ecco il mio script di iptables:

 

beh... deve andare bene a te...  :Smile: 

se mi permetti una critica, però, è un gran casino!!!

prima di tutto: perché non usi /var/lib/iptables/rules-save? puoi specificare lì tutte (e sole) le regole, senza tirare in ballo script e/o variabili che rendono difficile la lettura, e quindi anche la manutenzione.

e poi è tutto poco leggibile: ci sono spesso informazioni ridondanti (vedi il modulo state che compare in ogni entry) che potrebbero essere raccolte in un unico punto.

nota che non si tratta di osservazioni sulla funzionalità, ma sulla leggibilità, che però è fondamentale quando c'è da fare manutenzione!!

per il monitoraggio: io uso ntop, e quando voglio proprio farmi i cazzacci dei miei utenti uso awstats, associato a squid (da un'occhio qui: http://awstats.sf.net)

ciao!

----------

## pistodj

awstats sembra giusto ciò che mi serve!!

a colpo docchio nn ho capito una cosa...

riesco anche vedere chi della mia lan interna è andato dove o so solo se uno della mia lan è andato dove??

----------

## .:chrome:.

 *pistodj wrote:*   

> awstats sembra giusto ciò che mi serve!!
> 
> a colpo docchio nn ho capito una cosa...
> 
> riesco anche vedere chi della mia lan interna è andato dove o so solo se uno della mia lan è andato dove??

 

con le connessioni http sì (circa)

----------

## Taglia

E usare snort?

----------

## .:chrome:.

 *Taglia wrote:*   

> E usare snort?

 

snort mi pare una cosa un po' eccessiva, per quello che voleva fare  :Confused: 

----------

## pistodj

cosa sarebbe snort?? che funzionalità ha in più...??

----------

## .:chrome:.

 *pistodj wrote:*   

> cosa sarebbe snort?? che funzionalità ha in più...??

 

lascia perdere. snort è un network analyzer, ma viene usato per testare la vulnerabilità della rete e per fare forensics analisys. fa molto più di quello che chiedi, e nello specifico, non è abbastanza dettagliato per quello che vuoi te

----------

## comio

 *k.gothmog wrote:*   

>  *pistodj wrote:*   cosa sarebbe snort?? che funzionalità ha in più...?? 
> 
> lascia perdere. snort è un network analyzer, ma viene usato per testare la vulnerabilità della rete e per fare forensics analisys. fa molto più di quello che chiedi, e nello specifico, non è abbastanza dettagliato per quello che vuoi te

 

snort è un IDS (Intrusion Detection System)... anzi è l'IDS. Comunque non server per fare monitoring di prestazioni, ma per analizzare il traffico e beccare le anomalie, tipo attacchi alla rete.

ciao

----------

## Taglia

Appunto ... analizzare il traffico ... è un IDS ma ciò non vuol dire che lo posso utilizzare anche per analizzare altre cose rispetto alle intrusioni (es scoprire e loggare chi scarica mp3)... o mi sbaglio?

----------

## .:chrome:.

 *Taglia wrote:*   

> Appunto ... analizzare il traffico ... è un IDS ma ciò non vuol dire che lo posso utilizzare anche per analizzare altre cose rispetto alle intrusioni (es scoprire e loggare chi scarica mp3)... o mi sbaglio?

 

IDS "Intrusion Detection System". è vero che potrebbe farlo, ma è specializzato in altre cose e non è adatto a fare questo.

per un logger basta uo stupido script in python (come awstats) non hai bisogno di un pachiderma come snort.

anche una ferrari ti permette di andare in edicola, e a prendere il pane, ma non è fatta per quello. una smart va più che bene

----------

## gutter

 *Taglia wrote:*   

> Appunto ... analizzare il traffico ... è un IDS ma ciò non vuol dire che lo posso utilizzare anche per analizzare altre cose rispetto alle intrusioni (es scoprire e loggare chi scarica mp3)... o mi sbaglio?

 

Concordo sul fatto che usare snort mi pare una cosa poco sensata.

----------

## Truzzone

 *k.gothmog wrote:*   

> ...per un logger basta uo stupido script in python (come awstats) non hai bisogno di un pachiderma come snort.
> 
> ....

 

Basta solamente awstats, perchè l'ho emerso e configurato ma non mi segnala nessuna visita  :Crying or Very sad: 

Ciao by Truzzone  :Confused: 

----------

## .:chrome:.

 *Truzzone wrote:*   

> Basta solamente awstats, perchè l'ho emerso e configurato ma non mi segnala nessuna visita  

 

errore nella configurazione?  :Smile: 

controlla in /var/log/squid/access.log (o comunque dove logga squid) e verifica il formato dei log di squid, che sia lo stesso che hai impostato in awstats

----------

## Truzzone

 *k.gothmog wrote:*   

> errore nella configurazione? 
> 
> controlla in /var/log/squid/access.log (o comunque dove logga squid) e verifica il formato dei log di squid, che sia lo stesso che hai impostato in awstats

 

Allora serve anche squid, io ho emerso e configurato solamente awstats  :Rolling Eyes: 

Ciao by Truzzone  :Confused: 

----------

## .:chrome:.

 *Truzzone wrote:*   

> Allora serve anche squid, io ho emerso e configurato solamente awstats  

 

eh per forza. nel momento in cui vuoi fitrare e/o analizzare il traffico dei tuoi client, il proxy è necessario

----------

## pistodj

in definitiva i programmi che sono emersi per monbitorare il traffico internet dei miei utenti lan mi consigliate awstats ??

mentre snort lo considerate troppo imponenete e cmq nn ben mirato al mio problema.. (che ricordo e' solamente verificare che utenti nn scarichino mp3 o abbiano qualche traffico sospetto)

Accendiamo la risposta??

----------

## .:chrome:.

 *pistodj wrote:*   

> in definitiva i programmi che sono emersi per monbitorare il traffico internet dei miei utenti lan mi consigliate awstats ??

 

è una delle possibilità. forse la più semplice da implementare

 *pistodj wrote:*   

> mentre snort lo considerate troppo imponenete e cmq nn ben mirato al mio problema.. (che ricordo e' solamente verificare che utenti nn scarichino mp3 o abbiano qualche traffico sospetto)

 

no. snort non è troppo imponente: non c'entra proprio niente col fatto di monitorare il traffico. è un'altra cosa

----------

## pistodj

un firewall hardware di per se lo considerate sufficente contro le intrusioni dall'esterno?? o è cmq indispensabile uno anche software??

----------

## .:chrome:.

 *pistodj wrote:*   

> un firewall hardware di per se lo considerate sufficente contro le intrusioni dall'esterno?? o è cmq indispensabile uno anche software??

 

di firewall hardware conosco solo spiderwall, e conosco chi l'ha progettato.

ti dico per certo che è un pc linux con kernel 2.4, quindi usa netfilter. come interfaccia non usa iptables, ma un tool scritto ad-hoc.

morale della favola, non acqyustare hardware, ma fai tutto in software, che hai lo stesso risultato e risparmi  :Smile: 

----------

## Cazzantonio

 *k.gothmog wrote:*   

> non acqyustare hardware, ma fai tutto in software, che hai lo stesso risultato e risparmi 

 

premesso che tu sappia dove mettere le mani...  :Rolling Eyes: 

un firewall configurato male è peggio di nessun firewall  :Wink: 

P.S. io uso il simpatico firewall che mi sono ritrovato nel router/access-point adsl... mi sono sempre trovato bene

certo che un firewall software mi consentirebbe un sacco di azioni che con quello hardware mi sono precluse, ma vuoi mettere il tempo che ci perderei dietro?  :Wink: 

----------

## .:chrome:.

 *Cazzantonio wrote:*   

>  *k.gothmog wrote:*   non acqyustare hardware, ma fai tutto in software, che hai lo stesso risultato e risparmi  
> 
> premesso che tu sappia dove mettere le mani... 
> 
> un firewall configurato male è peggio di nessun firewall 
> ...

 

la questione è però che un firewall hardware non è mai tale: nel senso che non è possibile implementarlo con una logica combinatoria cablata. c'è sempre dietro un sistema operativo con un firewall software. a questo punto tanto vale farselo a mano, no?  :Wink: 

----------

## Flonaldo

ed utilizzare ethereal??? è molto valido...filtri i tipi di pacchetti e puoi decidere di vedere quello che ti pare:)

----------

## Cazzantonio

 *k.gothmog wrote:*   

> tanto vale farselo a mano, no? 

 

daccordo... ma supponiamo che tu non sappia niente di iptables... quanto ci metteresti ad imparare a gestirlo?  :Rolling Eyes: 

Non conosco tantissima gente che sa davvero come scrivere delle regole decenti per iptables  :Wink:  (e nemmeno io penso di essere tra questi  :Laughing:  )

----------

## .:chrome:.

 *Cazzantonio wrote:*   

>  *k.gothmog wrote:*   tanto vale farselo a mano, no?  
> 
> daccordo... ma supponiamo che tu non sappia niente di iptables... quanto ci metteresti ad imparare a gestirlo? 
> 
> Non conosco tantissima gente che sa davvero come scrivere delle regole decenti per iptables  (e nemmeno io penso di essere tra questi  )

 

dai... non essere così pessimista!

iptables ha una sintassi semplice. l'unica cosa è capirne il funzionamento. quando hai afferrato qualche concetto (pochi a dire il vero) non è per nulla difficile. io trovo più complesso configurare per bene un'installazione di apache, con tanto di virtual host e proxy!!!  :Rolling Eyes: 

----------

## Little Cash

Ciao, credo che usando snmp e mrtg (e configurandoli a dovere) riusicersti ad estrapolare le statistiche e i log che ti servono

----------

## shev

[OT]

 *Cazzantonio wrote:*   

> P.S. io uso il simpatico firewall che mi sono ritrovato nel router/access-point adsl... mi sono sempre trovato bene
> 
> certo che un firewall software mi consentirebbe un sacco di azioni che con quello hardware mi sono precluse, ma vuoi mettere il tempo che ci perderei dietro? 

 

Se il firewall che dici è quello del netgear dg834g che mi pare tu abbia, buone notizie: non è altro che linux based, se cerchi sul forum trovi un paio di topic che ne parlano (e su google trovi materiale). In sintesi puoi modificarlo come vuoi, io mi ci sono già divertito un sacco  :Very Happy: 

[/OT]

----------

## ferroilpinguino

ciao per  monitorare il traffico di rete (ovvero per sniffare i pacchetti che passano nella tua lan ) io personalmente ti consiglio ethereal.............

----------

## .:chrome:.

 *ferroilpinguino wrote:*   

> ciao per  monitorare il traffico di rete (ovvero per sniffare i pacchetti che passano nella tua lan ) io personalmente ti consiglio ethereal.............

 

per sapere in che siti navigano i tuoi utenti usi ethereal?

per collezionare statistiche di utilizzo della rete usi ethereal?

se riescia  farmi vedere delle statistiche basate su analisi fatte con ethereal sei un figo...

però vale lo stesso discorso di snort. solo che con ethereal siamo davvero alla follia

----------

## Little Cash

 *shev wrote:*   

> [OT]
> 
>  *Cazzantonio wrote:*   P.S. io uso il simpatico firewall che mi sono ritrovato nel router/access-point adsl... mi sono sempre trovato bene
> 
> certo che un firewall software mi consentirebbe un sacco di azioni che con quello hardware mi sono precluse, ma vuoi mettere il tempo che ci perderei dietro?  
> ...

 

Aggiungo a cio' che ha detto Shev: precisamente ci gira BusyBox (ce l'ho anch'io questo router)

[Super OT]

http://www.suburbia.com.au/~dan/ x info

[/Super OT]

 :Wink: 

----------

## FonderiaDigitale

 *ferroilpinguino wrote:*   

> ciao per  monitorare il traffico di rete (ovvero per sniffare i pacchetti che passano nella tua lan ) io personalmente ti consiglio ethereal.............

 

monitorare il traffico e' cosa ben diversa dal semplice ascoltarlo.

non facciamo confusione.

----------

## Cazzantonio

 *shev wrote:*   

>  puoi modificarlo come vuoi, io mi ci sono già divertito un sacco 

 

Davvero  :Shocked:  Che era linux based lo sapevo... ma che fosse anche modificabile no  :Very Happy:   Corro a documentarmi  :Wink: 

----------

## Flonaldo

monitorare il traffico e' cosa ben diversa dal semplice ascoltarlo.

non facciamo confusione.[/quote]

Bhe con un bell echo >> blablabla.doc hai il traffico bello e pronto...guarda che cmq ethereal è potentissimo! Credo sia il top, poi magari mi sbaglierò ma...cmq l'ho usato e mi ha sconvolto  :Shocked: 

----------

## makoomba

 *Flonaldo wrote:*   

> Bhe con un bell echo >> blablabla.doc hai il traffico bello e pronto

 

.. e dopo una sessione p2p ti serve un hard disk nuovo.

back in topic, direi ntop o iptables + cacti

----------

## Flonaldo

 *makoomba wrote:*   

>  *Flonaldo wrote:*   Bhe con un bell echo >> blablabla.doc hai il traffico bello e pronto 
> 
> .. e dopo una sessione p2p ti serve un hard disk nuovo.
> 
> back in topic, direi ntop o iptables + cacti

 

Ovviamente dipende da quello che devi fare...se è per qualche minuto, solo per vedere quello che sta accadendo in quel momento ethereal è ottimo! Per altri casi ovviamente è scomodo, ma questa è una questione applicabile quasi ad ogni software  :Smile: 

----------

## .:chrome:.

 *Flonaldo wrote:*   

> Ovviamente dipende da quello che devi fare...se è per qualche minuto, solo per vedere quello che sta accadendo in quel momento ethereal è ottimo! Per altri casi ovviamente è scomodo, ma questa è una questione applicabile quasi ad ogni software 

 

allora... come è già stato detto, monitorare è una cosa, ascoltare è un'altra.

monitorare è questo: http://www.mrunix.net/webalizer/sample/usage_199905.html e questo: http://awstats.sourceforge.net/cgi-bin/awstats.pl

con ethereal puoi fare una cosa del genere? ovviamente no

----------

## FonderiaDigitale

 *Flonaldo wrote:*   

>  *makoomba wrote:*    *Flonaldo wrote:*   Bhe con un bell echo >> blablabla.doc hai il traffico bello e pronto 
> 
> .. e dopo una sessione p2p ti serve un hard disk nuovo.
> 
> back in topic, direi ntop o iptables + cacti 
> ...

 

ma non diciamo strupidate. pensate prima di postare!

monitorare significa catturare, nel tempo del traffico su una o piu interfacce, e analizzarlo e confrontarlo con dei dati di raffronto. quantomeno.

----------

## Flonaldo

Ok, hai ragione! che devo dirti...buona giornata

----------

## klaudyo

Secondo me FonderiaDigitale ha ragione. Ethereal e' un buon programma per fare sniffing dei pacchetti sulla rete, ma monitorare una rete e' un qualcosa che va oltre.

Secondo me SNMP (anche se va configurato, saputo usare, etc...) puo' essere una buona soluzione.

Comunque, stiamo tranquilli, no?  :Wink: 

----------

## Flonaldo

ehehehe, tranquillissimi...fonderia invece mi sa che ha bisogno di una scutuliata( i partenopei mi capiranno) :Twisted Evil:   :Wink: 

Cmq ho provato SNMP, effettivamente è migliore di etherial per MONITORARE il traffico! Rimane pero il concetto di base, ovvero, entrambi porca miseria si basano sul protocollo UDP o mi sbaglio??? non credo ci sia poi una sostanziale differenze a livello di operato!

----------

## klaudyo

Si SNMP è su UDP, perchè non va bene?

Cmq c'è un enorme differenza tra Ethereal e SNMP:

1) SNMP è un protocollo per la gestione di rete, Ethereal un programma

2) SNMP ti consente di collezionare dati in merito alla tua rete, Ethereal ti fa vedere cosa passa in quel momento "sul filo"

3) SNMP lo trovi implementato su dispositivi HW (tipo quelli della CISCO), oppure te lo installi, lo configuri e gira come demone

Insomma sono due cose proprio diverse! Su Internet trovi ina valanga di cose in merito.

Poi, intendi, non è che ti sto parlando da esperto. Ho seguito un corso all'uni. che parlava di SNMP, ma poi in definitiva non l'ho mai usato.

PS se vuoi info in merito ti do il link dei noiosissimi lucidi del prof. (spero che non frequenti il forum!!!)  :Laughing: 

Ciao!

----------

## RedNeckCracker

Approfitto del thread per chiedere come posso implementare la stessa cosa dell'howto di kazhad-dum su snmp e mrtg ma applicato agli host della rete.

Mi spiego meglio: l'howto di kazhad porta a mostrare il traffico complessivo della scheda ethernet del router.

A me piacerebbe poter utilizzare mrtg in modo che mi facesse i grafici, tramite snmp, della banda usata dagli host della rete.

Si, mrtg sta sul router/firewall.

----------

## FonderiaDigitale

 *Flonaldo wrote:*   

> ehehehe, tranquillissimi...fonderia invece mi sa che ha bisogno di una scutuliata( i partenopei mi capiranno) 
> 
> 

 

a costo di essere ripetitivo, l'ho gia detto ma probabilmente non sono stato chiaro: questo forum e' fatto anche per dare delle dritte alle persone che non hanno chiari alcuni argomenti, e per indirizzarli verso la strada giusta nel risolvere i loro problemi. 

purtroppo pero' pare che ultimamente il forum sia pieno di gente che parla senza cognizione di causa: questo lo trovo non solo irritante, ma anche sbagliato sopratutto contando il fatto che se si da consigli sbagliati alle persone, prima di tutto si crea in loro soltanto ulteriore confusione, e secondo si fa loro perdere solo tempo. 

nel mio caso specifico, preferisco postare solo se ritengo di aver qualcosa di sensato da dire. e solo se ritengo di essere abbastanza ferrato o mi sono documentato abbastanza su quel dato argomento/

Il tempo e' denaro per tutti: questi signori che parlano per muovere aria sono pregati pertanto di impiegare il loro tempo altrove.

grazie. per l'ennesima volta.

----------

## Flonaldo

Mi arrendo!  :Embarassed:   Evidentemente ero molto radicato in un concetto di SNMP-ETHEREAL che in realta' era sbagliato! 

Sorry  :Embarassed:   :Embarassed:   :Embarassed:   :Embarassed: 

----------

## makoomba

 *FonderiaDigitale wrote:*   

> ma non diciamo strupidate. pensate prima di postare!
> 
> monitorare significa catturare, nel tempo del traffico su una o piu interfacce, e analizzarlo e confrontarlo con dei dati di raffronto. quantomeno.

 

era diretto anche a me ?

----------

## FonderiaDigitale

sigh. non andiamo OT per favore. 

non era diretto a nessuno in particolare. era semplicemente una puntualizzazione alla luce dei punti del mio post precedente.

----------

## makoomba

 *FonderiaDigitale wrote:*   

> sigh. non andiamo OT per favore.

 

hai fatto 2 post sul tono: "non dite cazzate e/o andate altrove a dire le vs cazzate" e chiedi a me di non andare OT ?

 *FonderiaDigitale wrote:*   

> non era diretto a nessuno in particolare. era semplicemente una puntualizzazione alla luce dei punti del mio post precedente.

 

tanto per non sollevare il dubbio, la prossima volta che parli "in generale" non quotare qualcuno "in particolare".

non che ce ne sia bisogno, ma quello prima di "back in topic" era semplice sarcasmo.

discorso chiuso.

edit.

se non era chiaro, il discorso/polemica/flame per me è  > /dev/null.Last edited by makoomba on Fri Apr 22, 2005 8:59 am; edited 1 time in total

----------

## gutter

Per favore evitiamo di scatenare polemiche o mi sento costretto a chiudere il thread.

----------

## Josuke

is..si c'è stato un po' un degenero..era anche un topic interessante  :Wink: , comunque colui che l'ha aperto non ho capito bene..ha provato snmp e mrtg? non gli va bene? non funziona? insomma ha risolto o no?

----------

## .:chrome:.

 *gutter wrote:*   

> Per favore evitiamo di scatenare polemiche o mi sento costretto a chiudere il thread.

 

mi spiace, ma io penso che fonderia abbia perfettamente ragione. spesso si scrive senza conoscere la materia, tanto per fare (e mi rendo conto di averlo fatto anche io, delle volte).

scrivere tanto per fare, senza nemmeno conoscere la materia di cui si parla porta solo a scrivere cose inesatte, e ad irritare le persone.

----------

## gutter

 *k.gothmog wrote:*   

> 
> 
> mi spiace, ma io penso che fonderia abbia perfettamente ragione. spesso si scrive senza conoscere la materia, tanto per fare (e mi rendo conto di averlo fatto anche io, delle volte).
> 
> scrivere tanto per fare, senza nemmeno conoscere la materia di cui si parla porta solo a scrivere cose inesatte, e ad irritare le persone.

 

Mi pare di non essermi schierato contro l'opinione di fonderia o no?

Il mio intervento voleva solo avere lo scopo di evitare inutili flame.

----------

## lopio

 *klaudyo wrote:*   

> Si SNMP è su UDP, perchè non va bene?
> 
> Cmq c'è un enorme differenza tra Ethereal e SNMP:
> 
> 1) SNMP è un protocollo per la gestione di rete, Ethereal un programma
> ...

 

scusate ma quando parlate di snmp per il monitoring non riesco a seguire il discorso .

SNMP e' un protocollo e viene usato per  l' amministrazione  n una struttura client /server

Attaverso tale protocollo uan fantomatica applicazione client  snmp puo' interrogare agent (o server o demone) snmp che gira su una certa macchina e chiedere/settare qualcosa.

Quello che puo' chiedere settare lo decidono le MIB caricate lato agent (e che anche il client deve conoscere).L'agent  snmp sul router CISCO implementera' certe MIB standard e certe MIB propritarie e quindi potra essere interrogato per avere  settare/chiedere certe info proprio in base a tali MIB.

Il monitoring di rete (come in questo thread) puo' essere garantito solo se agent snmp a cui ci si rivolge implementa delle MIB che permettono di ricavare dati inerenti e questo puo' essere vero oppure no e puo' essere vero fino ad un certo livello di dettaglio.

Ma anche in un caso come questo occorre che applicazione client che raccoglie i dati di monitoring li possa presentare in un formato leggibile e utile al contesto che si vuole realizzare.

Quindi il problema e' 

1) siamo sicuri di avere agent snmp che puo' fornire i dati necessari (foglie della MIB)

2) Esiste applicazione client SNMP permette di raccogliere questi dati e visualizzarli  come farebbere le applicazioni precedentemente citate?

ciao

----------

## .:chrome:.

 *lopio wrote:*   

> 1) siamo sicuri di avere agent snmp che puo' fornire i dati necessari (foglie della MIB)

 

sì. è una delle zpplicazioni

 *lopio wrote:*   

> 2) Esiste applicazione client SNMP permette di raccogliere questi dati e visualizzarli  come farebbere le applicazioni precedentemente citate?
> 
> ciao

 

sì. MRTG, per esempio

http://www.noc.garr.it/mrtg/RTG_MILANO.garr.net/garr-gw.it1.it.geant.net.html

----------

## makoomba

ritorno a suggerire cacti.

----------

## lopio

 *k.gothmog wrote:*   

>  *lopio wrote:*   1) siamo sicuri di avere agent snmp che puo' fornire i dati necessari (foglie della MIB) 
> 
> sì. è una delle zpplicazioni
> 
>  *lopio wrote:*   2) Esiste applicazione client SNMP permette di raccogliere questi dati e visualizzarli  come farebbere le applicazioni precedentemente citate?
> ...

 

Bene bene  :Laughing: 

Chiedo scusa se non era necessario ma volevo solo puntualizzare che era importante porre l'accento sulle specifiche  applicazioni che utilizzano il protcollo SNMP piu' che sul protocollo SNMP stesso visto che in alcuni  post sembrava trasparire quest'ultima cosa.

Come tu fai notare e' importante che lato agent vengano forniti certi dati (implementate certe MIB) e che per esempio MRTG (che conosce le MIB adatte) possa recuperare tali info per elaborarle adeguatamente.

ciao

----------

## .:chrome:.

esiste anche un tal RRDTool, che sto provando in questi giorni.

mi sembra più flessibile di MRTG, e forse anche un po' più semplice da configurare

----------

## makoomba

 *k.gothmog wrote:*   

> esiste anche un tal RRDTool, che sto provando in questi giorni.
> 
> mi sembra più flessibile di MRTG, e forse anche un po' più semplice da configurare

 

cacti usa appunto RRDTool

----------

## Dr.Dran

 *klaudyo wrote:*   

> Si SNMP è su UDP, perchè non va bene?
> 
> Cmq c'è un enorme differenza tra Ethereal e SNMP:
> 
> 1) SNMP è un protocollo per la gestione di rete, Ethereal un programma
> ...

 

Io sarei interessato hai link dei lucidi se fosse possibile averli. grazie

P.S. Si RDDTools è molto più duttile e lo si può configurare per tenere sotto controllo un sacco di informazioni, se si guarda sul sito dello sviluppatore si può vedere che è utilizzato per monitorere la rete, per verificare la quantità di spam e virus che arrivano in posta, etc etc, in sostanza si crea un db e poi su richiesta possimo ricavarne dei grafi tramite gd non è male, l'implementazione rimane a piacere per lo sviluppatore!  :Cool:   :Laughing: 

----------

## cagnaluia

riesumo questa discussione.

Ho un problema nella rete e con gli strumenti che ho non riesco ad analizzare e a monitorare per fare le giuste scelte.

Ci sono due reti aziendali qui da noi. Semplificando:

192.168.1.x dove risiedono i server e il router per la connettività DSL.

192.168.2.x dove risiedono decine di utenti con i loro PC che usufruiscono della rete, dei suoi servizi etc.

Tutti gli utenti hanno un telefono.

Tutti i telefoni sono misto analogici e digitali che si allacciano a due centralini (uno per rete). 

Questi centralini hanno un indirizzo IP e lavorano (quando le chiamate sono interne) in VoIP.

Bene.

Fin qua tutto bene.. una rete 10/100/1000 (che abbiamo) con un centinaio di utenti nn farebbe una piega a smistare le telefonate e compagnia bella su IP.

Però.

Per problemi "fisici" una rete è collegata all altra da un ponte radio wireless... che non assicura certamente una banca come quella della fibra ottica o del cavo di rame.. ma qualcosa di molto piu stretto.. 3/4Mbit ... in/out.

Succede:

succede che .... se qualcuno, o piu di qualcuno scarica  materiale dal www.. o semplicemente scarica la posta.. o usa copiare file da una sede all altra.. il povero ponte radio... si piega sotto tanta richiesta. Impedendo il corretto funzionamento dei due centralini telefonici.

Le chiamate si sentiranno a salti.. molto disturbate.. per niente udibili...

Così:

siamo costretti a girare il traffico NON piu su VoIP ma direttamente travasandolo sulla rete Telecom.. con tutti i guai del caso: bolletta telefonica molto piu salata.

Quindi:

la mia idea ... visto che non ci sono strumenti per capire cosa succeda.. perfettamente.. MA SOLO vedere sui due router a valle del ponte radio, l'impegno dello stesso... in/out.

Sistemare un PC dotato di due schede di rete... tra il ponte radio e il router che lo gestisce sulla sede 192.168.1.x (non imoporta.. una vale l'altra.. solo per averlo vicino).

Abilitare su questo PC gentoo-based... un forwarding "generico" e "trasparente" come se non ci fosse.. Perchè devo mantere intatto il collegamento.. e tutto il traffico che si muove. Da una parte verso l'altra e viceversa.

Di conseguenza:

sistemato il PC.. dovrei installare qualcosa... ma ignoro cosa... uff.. leggendo qua.. ho fatto solo una montagna di confusione.. per capire cosa si sposta nella rete.. chi fa le richieste, per cosa, da chi e verso chi.. se è un download su internet.. se è una richiesta di dati da un server SQL della rete.. se è posta elettronica... se è VoIP.. 

In questo modo:

applicare delle regole ... per mantenere una certa banda e una certa priorità minima abbastanza ampia per il VoIP e rallentare di conseguenza tutto il resto.

Inoltre avere la situazione sommaria e dettagliata dell uso della rete.. per futuri aggiornamenti e scelte di natura informatica.

Quindi con una reportistica leggibile e a scelta.. dettagliata.

----------

## GabrieleB

Attenzione: un sacco di software p2p o instant messaging o spyware o chissacosa oramai lavorano sulla porta 80 facendo finta di essere un normale browser. Bisogna quindi estendere l'indagine al layer applicativo.

E' necessario agire su piu' fronti utilizzando il tool giusto su ogni fronte:

- Ntop: ntop ti permette di avere delle statistiche del tipo: il 70% della banda e' occupato da protocolli p2p, il 15% da navigazione http, il 10% dalla posta e il restante da altri protocolli. Inoltre c'e' un picco di traffico dalle 10 del mattino a mezzogiorno. L'ip 1.2.3.4 (che io so appartenere a Gigi) e' l'utente che fa piu' traffico p2p in assoluto. Prendo i tronchesi e taglio le falangi a Gigi, cosi' non si installa piu' software p2p

- proxy + analizzatore di log: L'ip 1.2.3.4 (che io so appartenere a Gigi) ha visitato donnenude.com e tantimp3.com, sui quali e' utente abituale e ci passa 4 ore al giorno come minimo. Installo sul proxy delle liste categorizzate 9ammesso che ne trovi di esaustive) e faccio dei filtraggi url category-based (tipo bloccare i siti porno e che spacciano materiale protetto da copyright). Comunque prendo i tronchesi e taglio qualcos'altro a Gigi. 

- firewall con intelligenza layer7 + url filtering + analizzatore di log: un oggetto del genere permette di fare piu' o meno il lavoro dei precedenti due. Ha un certo costo (non sperate di trovare cose decenti sotto GPL in questo ambiente) ma perlomeno risparmi in ore/uomo per stare dietro a tutto il resto.

Scordatevi di fare tutto con iptables, che e' un firewall a livello 4, dalle cui "grinfie" scappa un sacco di roba. Men che meno con ethereal/wireshark che e' un ottimo sniffer, ma solo uno sniffer e e Snort che e' un IDS (e nemmeno il migliore).

----------

## Onip

povero Gigi   :Crying or Very sad:   :Crying or Very sad: 

e poi parlano di sicurezza sul lavoro!

----------

## GabrieleB

dimenticavo: una bella nota informativa e un occhio alla legge sulla privacy sono d'obbligo prima di intraprendere simili azioni di ispezione del traffico. Pena una possibile ritorsione legale di Gigi.

----------

## cagnaluia

 *GabrieleB wrote:*   

> Attenzione: un sacco di software p2p o instant messaging o spyware o chissacosa oramai lavorano sulla porta 80 facendo finta di essere un normale browser. Bisogna quindi estendere l'indagine al layer applicativo.
> 
> E' necessario agire su piu' fronti utilizzando il tool giusto su ogni fronte:
> 
> - Ntop: ntop ti permette di avere delle statistiche del tipo: il 70% della banda e' occupato da protocolli p2p, il 15% da navigazione http, il 10% dalla posta e il restante da altri protocolli. Inoltre c'e' un picco di traffico dalle 10 del mattino a mezzogiorno. L'ip 1.2.3.4 (che io so appartenere a Gigi) e' l'utente che fa piu' traffico p2p in assoluto. Prendo i tronchesi e taglio le falangi a Gigi, cosi' non si installa piu' software p2p
> ...

 

hooo.. finalmente qualcosa fatto per punti di facile lettura.. e divertentissimo!!   :Laughing: 

solo due piccole cose:

1. abbiamo un server con websense che monitora le richieste ai siti ... tagliando fuori porno e compagnia bella.. quindi da questo lato.. RETE verso INTERNET siamo anche apposto.

Però se un utente va a scaricare la SP2 di WindowsXP questo nn è controllabile.. al momento.. quindi seguirò il tuo consiglio del proxy. (ma deve essere trasparente... non devo andare su ogni PC e sistemarlo perchè legga la porta giusta del proxy... tutto deve passare e trapassare come prima).

2. il firewall layer7.. dici che di opensource non ce ne sono.. quindi.. a chi mi affido? qualche spunto...?

grazie

----------

## randomaze

Moved from Forum italiano (Italian) to Forum di discussione italiano.

----------

## GabrieleB

tre domande:

- websense con cosa lo piloti ?

- ho visto che ci sono due reti separate per i client e per i server ... cosa le mette in comunicazione oggi ?

- il protocollo voip usato qual'e' ? (questo limita molto nella scelta del firewall)

e una precisazione:

- i router per la connettivita' esterna sono attestati sulla rete dei server ??? Questo non va bene ...

----------

## cagnaluia

 *GabrieleB wrote:*   

> tre domande:
> 
> - websense con cosa lo piloti ?
> 
> - ho visto che ci sono due reti separate per i client e per i server ... cosa le mette in comunicazione oggi ?
> ...

 

1. websense è un programma e un insieme di servizi installato su una macchina win2003... si controlla o tramite client o direttamente sul server tramite remote desktop.

2. no... ci sono due sedi... tutte e due hanno client e server... mettiamo 40/50 sulla prima.. 40/50 sulla seconda (siano essi PC, stampanti etc..).

La concentrazione dei server sta sulla prima.. sulla seconda invece c'è solo un server di dominio che fa da backup al primo.

3. questo non te lo so dire.. è un centralino Philips... sopho... qualcosa che centri con il tftp forse?

4. per via del punto 2... il router che collega internet è collegato ad un firewall ... il firewall al PC con websense.. e il PC con websense ad uno switch collegato con il resto della rete aziendale

----------

## GabrieleB

al 4 mi hai dato la risposta al punto 1  :Wink:  websense e' pilotato da un firewall ... ma che firewall ????

Comunque e' gia' bene che un firewall ci sia. Deduco che server pubblici non ce ne siano ... e i server che tu citi siano server interni (cioe' non ricevono connessioni dall'esterno).

Per il voip .... tu mi hai citato la marca del centralino, ma sara' lui a parlare voip o un apparato esterno al centralino ?

Il problema nasce dal fatto che se per caso devi far passare il voip dal firewall (ma non ho ancora capito la topologia) devi avere un firewall che lo supporti (e questo e' tutt'altro che sottointeso).

I protocolli voip piu' comuni oggi sono:

- h.323 (vecchiotto ma abbastanza supportato dai firewall vendor)

- sip (supportato non da tutti i vendor)

- sscp o skinny (protocollo semi-proprietario di cisco ch pochi vendor supportano)

----------

## Dr.Dran

Ciao! Aggiungo a quanto detto da GabrieleB, che è corretto a mio parere, puoi provare ad implementare sul server "trasparente" anche cacti, in modo tale da poter avere dei grafici sul traffico e su altri dettagli.

Cheers

Franco

----------

## cagnaluia

 *GabrieleB wrote:*   

> al 4 mi hai dato la risposta al punto 1  websense e' pilotato da un firewall ... ma che firewall ????
> 
> Comunque e' gia' bene che un firewall ci sia. Deduco che server pubblici non ce ne siano ... e i server che tu citi siano server interni (cioe' non ricevono connessioni dall'esterno).
> 
> Per il voip .... tu mi hai citato la marca del centralino, ma sara' lui a parlare voip o un apparato esterno al centralino ?
> ...

 

1. è un firewall hw.. ora nn so bene il modello. Ma un Watchguard di qualche anno fa..

2. scusa.. ma cosa intendi per server pubblici? server con l'indirizzo pubblico? L'unico indirizzo pubblico è quello dell interfaccia del firewall, verso l'esterno.

Lui redirige i vari servizi come la posta su un server nostro interno.

3. il centralino non passa per nessun firewall.. il firewall sta solo dietro il router ADSL... solo per la connettività ADSL quindi.

4. il centralino comunica direttamente con la rete da una parte... e con le linee ISDN da un altra (in caso di problemi alla rete LAN, il traffico viene dirottato sulle linee ISDN come stiamo facendo adesso) certamente per le chiamate esterne.

5. ignoro il protocollo del VoIP, ma mi informerò domattina.

----------

## GabrieleB

 *cagnaluia wrote:*   

> 
> 
> 1. è un firewall hw.. ora nn so bene il modello. Ma un Watchguard di qualche anno fa..
> 
> 2. scusa.. ma cosa intendi per server pubblici? server con l'indirizzo pubblico? L'unico indirizzo pubblico è quello dell interfaccia del firewall, verso l'esterno.
> ...

 

OK, ci stiamo arrivando  :Smile: 

1. Watchguard e' un "proxone" come lo chiamo io .... e ha un po' di intelligenza a layer 7 per bloccare il p2p. Assicurati che sia aggiornato all'ultima versione e che sia configurato per bloccare sta roba. Inoltre questo oggetto potrebbe fare delle belle stratistiche gia' da solo.

2. si, sono considerati "pubblici" quei server che ricevono connessioni da internet (con o senza redirezione del firewall/router). Hai gia' un firewall che li protegge ... se e' configurato bene sei a posto.

3. bene ... una cosa di cui NON preoccuparsi  :Wink: 

4. OK, capito ... quello che si intasa e non fa andare il voip e' la linea dedicata tra le due sedi, vero ? E questa e' una linea separata dalla ADSL che ti collega ad internet. E scommetto che nella seconda sede non c'e' collegamento ad internet, quindi il traffico internet fa sede2 --> sede1 --> internet, giusto ?

Se ho intuito bene, lo scenario cambia un pochino ... e le azioni sono:

A. controllare che il firewall stia effettivamente bloccando il p2p e altre schifezze anche per gli utenti della sede2.

B. capire di che marca sono i due router che collegano le due sedi e se supportano meccanismi di QoS (Quality of Service). In questo modo puoi decidere di mettere in bassa priorita' (o limitare la banda) del traffico legittimo che va da sede1 a sede2 e viceversa. Mi spiego: un file transfer di un file di excel grosso da sede1 a sede2 e' traffico che devi consentire, pero' questo rompera' le scatole al voip. 

Puoi agire su due fronti (anche contemporaneamente): 

- riservare banda al tuo voip (128k sono riservati al voip...), ed in questo caso devi conoscere il famoso protocollo voip del centralino

- gestire la priorita' quando hai le code sulle interfacce wan dei router (voip priorita' 1, navigazione priorita'2, tutto il resto priorita' 3)

In bocca al lupo ...  :Wink: 

----------

