Se vedno tezava z in prometom
Damir Dezeljin
programing at mbss.org
Thu Dec 16 19:28:35 CET 2004
Hi.
Pred par dnevi sem spraseval glede vhodnega prometa na mojo masino.
Moja masina je prikljucena na net z masko 255.255.255.0. Ima dva IP-ja na
eni kartici (eth1 in alias eth1:1). ISP monitorira dohodni promet proti
moji masini na portu SWITCHa na katerega je prikljucen mali SWITCH (moj)
na katerega je prikljucena moja masina. Za monitoring uporablja SNMP in
zato ima samo sumo vsega prometa. Ne morem dobiti detajlov iz katerega v
kateri IP je dolocen promet.
Prvo vprasanje je ... je mozno, da je moj mali SWITCH v kaksni varjanti
'promisc' nacina ali pa ce je moja mrezna v 'promisc' nacinu (ntop), da to
povzroci dodaten incoming promet preko switcha?
Z outputa ntop-a si zal ne znam kaj dosti pomagati. Izgleda, da ntop
misli, da so vse masine na istem netu del mojega lokalnega neta in torej
mi ni sploh jasno kateri promet prihaja na moj IP oz. kamorkoli ze!
Kaj mi lahko kdo svetuje kaj lahko naredim? Kako bi lahko dobil neke
uporabne podatke s katerimi bi se lahko odlocil za nadaljne akcije.
Masina ni bila hecknjena, tako da gor ne lavfajo kaksni virusi ali kaj
podobnega.
Na masini lavfam tudi postfix. Kaj je VES Postfix promet zabelezen v
mail.log datoteki ... je dovolj da sestejem vse X-e v vrsticah z size=X in
delim z dva (lavfam tudi amavis), da dobim max. incoming promet (tudi
tisti generiran lokalno)?
Se kaksna ideja?
Hvala in lp,
Dezo
More information about the lugos-list
mailing list