Moin Moin,
erstmal kurz zu mir. Ich war Netzwerk-Service-Techniker, habe mich mit der Konfiguration und Überwachung von Netzwerken beschäftigt, Layer 2 Switching und Layer 3 Routing (IP, IPX, Token Ring, ATM, FDDI, VLAN). Die Werkzeuge (Tools, Programme, Sniffer, usw.) welche ich damals verwenden konnte, habe ich in der jetzigen Firma nicht mehr zur Verfügung, bzw sind sehr alt.
Zu meinem kleinen Problem:
Ich möchte mit einem Linux, ob Ubuntu oder Debian, eine Überwachung der Ausgehenden und Eingehenden Verbindungen (Anzahl) und der Ausgehenden Ziel Ports (z.B.: SMTP, HTTP) zählen. Das geht alles mit IPTables, bei der richtigen Konfiguration. Aber ich möchte die Daten nicht durch die Linux leiten, sondern nur dran vorbei, also mit einem Monitorport auf dem Switch. Mein Problem besteht darin, wie sehen den die Regeln aus um nur zu Zählen und dann das "gemonitorte" Paket zu verwerfen? Und die Konfiguration des Interface, muss ich eine gesonderte Konfiguration haben, damit das Interface nicht DHCP macht, bzw. überhabt keine IP haben will?
Bis jetzt habe ich nur Hardware-Firewalls konfiguriert und bin auf dem Sektor von IPTables eher neu. Die alten IPTables Versionen, die ich noch im Kopf habe, sind noch von Solaris und wie bekannt, ist Solaris ein wenig alt.
Da beide Firewalls NAT machen, kann ich die Richtung bestimmen. Für die Auswertung schreib ich das Programm selbst, also die Ausgabe von IPTables lesen und in deine DB schreiben.
Natürlich würde alles mit einem Sniffer gehen, aber die speichern, soweit ich das gesehen habe, alles in einer oder mehreren Dateien für einen spätere Analyse. Ich brauche die Daten aber Live und in Farbe. 😉
Im AH habe ich ein Bild, wie es aussehen sollte. Ich habe nur das nötigste eingezeichnet, ist verständlich, denk ich.
Dank im voraus. Doc