Web logger под Linux

[YellowMan]

Ищется такая вот штука - надо чтобы оно сидело на рутере и логгировало все http:// запросы изнутри наружу, желательно - в базу.
Хорошо бы еще иметь там возможность блокировать то или иное слово или адрес.

Есть что-либо такое гламурненькое? Если надо поднять сквид - я подниму, но очень бы не хотелось...

[rojer]

а ты подними, это очень просто.
минимальный конфиг для прозрачного сквида без дискового кеша и с минимальным кешом в памяти:

Код:

http_port 8089 transparent
icp_port 0
#htcp_port 0

acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

cache_mem 1 MB

access_log none
cache_log none
cache_store_log none
# pid_filename /usr/local/squid/logs/squid.pid

ftp_user e@mail.com
ftp_telnet_protocol off

acl all src 0.0.0.0/0.0.0.0
acl good src 127.0.0.0/8 192.168.0.0/16 10.0.0.0/8
http_access allow good
http_access deny all
http_reply_access allow all

memory_pools off

via off
forwarded_for off

coredump_dir none

# die quickly
shutdown_lifetime 1 second

соответственно, правишь acl good, включаешь access_log и вперёд.
как заносить лог в базу (скрипт-парсер) или логировать прямо в базу (???) предлагаю разобраться самому.
ещё нужно правило для iptables, которое наизусть я не напишу, но думаю за 5 минут гугления спокойно найдётся.

[Yapi]

Сергей, ты кстати не так давно железный FW хотел?

Сматри че я надыбал:

http://www.soekris.com/how_to_buy.htm
http://applianceshop.eu/

У нас с monowall'ом хороший опыт пока что был - работает.

[YellowMan]

rojer, прокси плох тем что обходится как два бита переслать. Можно к нему написать и правило и запретить ходить напрямую, не проблема - но как-то это неестественно несколько. айПиТыблы сами не умеют смотреть что там в GET?
С прокси еще такая беда что вот у меня PSP, телефон, ХВОХ и спутниковый ресивер наверное подозревают что прокси есть но пользоваться им не умеют. Плюс для каждого нового клиента в сети надо объяснять куда идти чего нажать...

Саш, я думал про моновол - это была одна из альтернатив. Но моновол - это кастрированная Фря, а мне надо куча всяких сервисов которых там нет а держать еще один компьютер нет желания. Железный ФВ уже не хочу - надо было до НГ покупать а счас бюджета нет


PS Ага, почитал, подумал...похоже squid + iptables -t nat -A PREROUTING именно то что дохтур прописал. Пасиб за наводку.

[rojer]

> айПиТыблы сами не умеют смотреть что там в GET?

это как раз неестественно для айпитыблов. им не до того. потому что парсер http заголовков - это отдельная история, этому совершенно не место в ядре.
я именно что и предлагаю написать такое правило, чтобы все исх. коннекты на 80-й порт заворачивались на локальный порт 8089, на котором слушает сквид, которого мы поставили в известность, что это порт используемый для транспарентного проксирования. сквид - пёса умная, и делать с http запросами может всё что угодно, хоть в бараний рог их крутить. а если чего-то не умеет - к нему пишется аж три вида внешней обвязки, в которых ты можешь выразить свои пожелания на любом удобном тебе языке прграммирования.
гугли transparent proxy, короче. конфиг сквида у тебя есть, осталось надыбать только правило для iptables (ну не люблю я их, потому и не знаю был бы ты Япи, поставил бы freebsd - сказал бы как в pf это делается)

[YellowMan]

Я сделал еще на той неделе.
Это породило новую проблему - надо смотреть на айПиТыблы - не для того простого правила а для понимания того что я делаю и зачем.

Вот тут меня настигла засада - уже три дня пытаюсь понять инопланетную логику. Видно что штука мощная - но чуждый разум тоже силен. Я уже сто лет не рисовал на бумажке файрвольные схемы - а тут похоже придеться.

Скучаю по Фре.

[rojer]

тут я с тобой солидарен, хотя меня напрягает больше не логика сама, её я в принципе понимаю, а уе... кхм, нетрадиционный синтаксис.
не, понятно, что getopt нам свыше дан, конечно, но... в общем, ты понял

[abg]

Цитата:

Сообщение от YellowMan

Я сделал еще на той неделе.
Это породило новую проблему - надо смотреть на айПиТыблы - не для того простого правила а для понимания того что я делаю и зачем.

Вот тут меня настигла засада - уже три дня пытаюсь понять инопланетную логику. Видно что штука мощная - но чуждый разум тоже силен. Я уже сто лет не рисовал на бумажке файрвольные схемы - а тут похоже придеться.

Скучаю по Фре.

типа вот такой?


и вот тут еще много: http://iptables-tutorial.frozentux.n...-tutorial.html

[YellowMan]

Типа такой, ага.
Raw chains нигде не документированы, по крайней мере я не встречал (если это не синоним Level7).
Output в nat не работает, и так далее.

Но это ладно - вчера вечером меня срубила с ног фраза что для DNAT правило надо писать в -t nat -A POSTROUTING . Это похоже было опечятко но измученное алкоголем сознание на этом отключилось и перестало понимать вообще что-либо и что самое страшное - стало сомневаться в уже понятом...

Сдуру был поставлен guarddog, создано пару простых правил и была предпринята попытка изучить что оно там сгенерило...аааааа, безумие

[abg]

guarddog, наверное, насоздавал кучу chain'ов страшных + там всякий flood project и logging?

raw и не нужно ковырять. не трогай
насчет DNAT - эк тебя глюкнуло DNAT делается с Prerouting, SNAT - с postrouting

ня: http://linux-ip.net/html/nat-dnat.html

[Yapi]

Зря Сергей упираишься, даже я осознал что Firewall должен быть отдельным дивайсом. А в этом случае прекрасно ставится monowall и никаких ужасов ...

[YellowMan]

Спасибо Саш (абг), я разобрался - там опечатка просто была гарддог таки да - насоздавал страшного - я посмотрел и понял что таки надо все ручками писать

Саш, (Япи) моновал мне просто ставить не на что - покупать микроПС я не хочу - в бюджете дыра после нового года, а ставить еще одну башню мне врожденное чувство прекрасного не позволяет. Да и к тому-же надо мне несколько от варкрафта отдохнуть - а колупание Линуха в этом случае отличная альтернатива