Monitorering på Cisco 806

Hva med at downloade programet U? Der kan du både lave lige så mange bruger og ftp's som du vil, så kan du også se hvad der sker i dit netværk.. Hvis du tror det er dig så skriv det lige.. så giver jeg en url!

Hvis du har firewall feature set på din 806 har du ganske gode muligheder, men du kan også få et cirka billede vha access lister.
Det der skal til er en access liste på indersiden i stil med:
access-list 100 permit ip host 192.168.1.10 any
access-list 100 permit ip host 192.168.1.11 any
access-list 100 permit ip any any
Den her vil tælle antallet af pakker for de to ip-adresser. Tælleren kan du vise vha "show access-list 100" på routeren.
Du kan forfine den ved at ændre de enkelte entries til f.eks:
access-list 100 permit tcp host 192.168.1.10 any eq 80
access-list 100 permit tcp host 192.168.1.10 any eq 21
access-list 100 permit tcp host 192.168.1.10 any eq 25
for f.eks at få logget web-trafik (port 80), ftp-trafik (port 21) og afsendt mail (port 25). Mht ftp kan det også kræve, at du kigger på port 20 for at få det fulde billede.
Hvis du gerne vil efterbehandle det, kan du skrive log for enden af hver linie som f.eks.
access-list 100 permit tcp host 192.168.1.10 any eq 80 log
og sætte en syslog server op på dit netværk. Hvis du har en linux-server stående, kan jeg hjælpe dig lidt mere med dette. Jeg har aldrig prøvet syslog på en windows-maskine, så der er jeg mere på herrens mark.

Og din idé med en proxy er ganske god. Der er typisk langt bedre værktøjer til at behandle logfilerne herfra, hvis det skal være gratis.

lol

Mange tak for svar :-)
Sorry jeg først "svare" nu - men har haft så meget.

Rent faktisk har jeg linux server på - men må nok indrømme at den fatter jeg nu nok endnu mindre af :´-(

Men det lyder da fair nok hvis du måske alligevel kan hjælpe.

Mvh
christian

hej igen igen - en ting har jeg tænkt over;
hva er: "any eq" i linien "access-list 100 permit tcp host 192.168.1.10 any eq 80" ?

mvh.
christian

"Any" betyder, at destinationen kan være hvilken som helst ip...

Det den linie betyder er faktisk "Access-liste 100 : Tillad tcp trafik på port 80 fra ip-addresse 192.168.1.10 til alle ip-adresser"

Du skal læse den:
Access-list nr tilladelse protokol source destination parameter
nr = 100
tilladelse = permit
protokol = tcp
source = "host 192.168.1.10"
destination = any
parameter = "eq 80"

Mht syslog, så er "remote logging" slået fra som default på de fleste linux konfigurationer. På Redhat 7.2 skal du ind og ændre i /etc/sysconfig/syslog
Du skal tilføje "-r" og det er også en god idé at slå "-x" til, så du ikke logger ip-navne men numre i log-filen.
Som udgangspunkt ryger dine entries i /var/log/messages. En god måde at følge med i den er ved at bruge kommandoen "tail -f /var/log/messages"; så kan du løbende følge de nye entries.
På din router skal du skrive:
logging trap debugging (evt kun warnings, info eller andet, hvis der kommer meget)
logging 192.168.1.2 (eller hvad din linux-maskine nu har)

hej.. nu førsøger jeg så at "lege" lidt med de access lister på min router - det ser vist ud til at køre fint :-)

Nu kommer bare det store linux spørgsmål! hehe, men det må tiden vise om jeg får op og køre - Men du skal have mange tak for hjælpen.

Jeg opretter et spørgsmål under linux til frog for logsys - så kan du (eller hvem der svare) jo også få lidt ud af det :-)

lige et lille spørgsmål alligevel :-)
Jeg har skrevet følgende ind i routeren:
access-list 100 permit tcp host 192.168.1.8 any eq 80 log

men når jeg skriver:

show access-list 100

Får jeg svaret

Extended IP access list 100
    permit tcp host 192.168.1.7 any eq www log
    permit tcp host 192.168.1.8 any eq www log
Det fortæller jo ikke meget - har jeg misforstået noget?

Mvh Christian

Note: Link til linux spørgsmål er: http://www.eksperten.dk/spm/262050

Har du sat access-listen på et interface, så den bliver brugt til noget?
>enable
#conf ter
(config)#int e0
(config-if)#ip access-group 100 in

Nej det havde jeg ik sat - men straks efter jeg gjorde som du skrev, svarede min router ikke (var logget ind via telnet)

Jeg kunne ikke surfe, og måtte hive strømmen for at det virker igen (men altså uden overstående konf.)

Jeg bruger almindelig TDC opsætning - og har også et dialer0 interface - er det måske den der driller, nogle ider?

mvh
Christian

Ja, du havde ikke den nævnte "access-list 100 permit ip any any" med.
I bunden af en access-list er der altid en underforstået "deny everything".
Du skal derfor også passe på, at du aldrig hiver benene væk under dig selv. Især hvis routeren står i den anden ende af landet.
Hvis du befinder dig langt væk fra routeren er det en god idé at starte al konfigurationsarbejde med "reload in 10", før du går i config. Det betyder genstart kassen om 10 minutter. Hvis alt gik vel, skriver du "reload cancel".
Det sikreste (set fra en paranoids sysnpunkt) træk er at starte access-listen med en linie, der tilføjer din specifikke telnet-adgang. Den mere simple er at skrive "no ip access-group 100 in" på interfacet, før man retter i access-listen.

jeg har i forvejen en accessliste 102 kan jeg ikke bare bruge den?

Så der står

access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 102 permit tcp host 192.168.1.8 any eq www

bruger jeg dette skriver den

show access-list 102

Extended IP access list 102
    permit ip 192.168.1.0 0.0.0.255 any (80098 matches)
    permit tcp host 192.168.1.8 any eq www

Dvs. stadig ingen log på eks www

...glemte vist "log" men det ser stadig ik helt ud til at virke, så står der:

Extended IP access list 102
    permit ip 192.168.1.0 0.0.0.255 any (80189 matches)
    permit tcp host 192.168.1.8 any eq www
    permit tcp host 192.168.1.8 any eq www log

Access-listen bliver læst fra oven og ned, og nye entries bliver tilføjet i bunden.
Den access-liste du skal ende med at have er:
access-list 102 permit tcp host 192.168.1.8 any eq www log
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
For at gøre det, skriver du i config:
int e0
no ip access-group 102 in
no access-list 102
access-list 102 permit tcp host 192.168.1.8 any eq www log
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
int e0
ip access-group 102 in

Hej svindler
Du har hjulpet mig så meget - og mange tusinde tak for det.
Nu vil jeg lige høre dig - har du set sted jeg kan læse ang. det "firewall feature"

Jeg har nemlig sådan et set (firewall feature)
Men jeg ved jo så desværre heller ikke helt hvor ledes jeg griber det an.

Jeg kan godt oprette et spørgsmål mere - så du kan få point.

Mvh
Christian

http://www.cisco.com/pcgi-bin/Support/browse/psp_view.pl?p=Software:Cisco_IOS_Firewall

Det basale kan læses her:
http://www.cisco.com/warp/public/793/ios_fw/cbac4.html

Hej igen Svindler.
du skal have mange tak for alt din hjælp - det er dejligt at nogle har tidlyst til at hjælpe andre; så tusinde tak for det.