On Thu, 22 Mar 2012 17:36:37 +0000, Stefan Ram wrote:
> Burkhard Ott <
news...@derith.de> writes:
>>>Es könnte ja sein, daß Verkehr versehentlich erlaubt wurde.
>>Wie soll das denn gehen, entweder Du erlaubst was oder Du verbietest es,
>>bei beiden Einstellungen weisst Du doch sicher was Du machen moechtest,
>>oder?
>
> Demnach sollte es ja auch nie zu Bugs in Software kommen, weil die
> Programmierer doch sicher wissen, was sie machen möchten.
Musst Du selber wissen, ich kenne die Groesse Deines Netzes nicht aber da
koennen eine paar GB logfiles pro Tag anfallen.
>>Warum nicht das folgende Konstrukt: Logge auf der Firewall was immer Du
>>willst und sende es an syslog
o.ae., syslog schmeisst es in eine DB in
>>der Du relativ schnell das findest was Du suchst.
>
> Wenn das Log-Programm von einem anderen Anbieter kommt als die
> Firewall, erlaubt es noch einmal eine (wenigstens teilweise)
> unabhängige Kontrolle.
Well, eigentlich loggst Du nicht sondern Du sniffst. Loggen dient primaer
dem debugging, also ob und wann eine Regel/config greift etc.
Wenn Du also einen Sniffer zum loggen nimmst kannst Du entweder alles
loggen was da ankommt/rausgeht oder auf bestimmte Ports, hosts,
Protokolle filteren. Weiss nicht was das bringen soll, aber muss ich auch
nicht.
cheers