© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hi Matthias,
wenn Du dann auch noch den Traffic verbieten willst, bietet sich ipfw mit
den Logfacilities an. Wenn, wie bei meiner Firma, nur definierte Ports
direkt oder ueber Proxies nach draussen gehen und in den Regeln ein
"ipfw add log deny ip from any to any" steht, kann man ueber das Resultat
greppen.
Ich habe auf die Weise schon mal Auffaelligkeiten gefunden, wobei die
meisten fehlkonfigurierte Netscapes (Port 80 direkt - statt ueber den
Proxy zu gehen) betrafen. Aber auch ein paar temporaer ins Netz gestellte
Windows-2000, die merkwuerdige Pakete eines merkwuerdigen Dienstes
versuchten zu schicken, an eine 10.0.0.0/8-Adresse (vorher standen die
Kisten wohl in einem solchen Netz und bei uns wurde das nicht verwendet,
so also nach draussen - default - geroutet). Der Dienst liess sich dann
abschalten.
Aehnlich wirst Du evt. mit snort zum Ziel kommen koennen.
Es gruesst
Peter
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 19 Feb 2002 - 13:29:42 CET