Reverse Proxy, und VPN Log

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
CIM
Beiträge: 18
Registriert: Do 05.03.2015, 20:41

Reverse Proxy, und VPN Log

Beitrag von CIM »

Hallo Forum,

wir haben bei uns den Reverse Proxy im Einsatz, um Anfragen auf Port 80 an verschidene Webserver weiterzuleiten.
Jetzt wäre es für uns allerdings sehr interessant, welche IP von Außen auf diese Webseiten zugreifen.
Im Log der Webserver steht logischerweise nur die IP unserer UTM, weil die ja vermittelt. Jetzt habe ich das Logging für die entsprechende
Portfilter-Regel aktiviert, was allerdings nicht wirklich weiter hilft. Da bekomme ich ja nur eine ACCEPT-Meldung, dass IP xy auf Port 80 zugegriffen hat und durchgelassen wurde.
Damit weiß ich aber nicht auf welche der Seiten er zugegriffen hat. Das sieht dann etwa so aus:
ACCEPT: in rule xx IN=ppp0 OUT= MAC= SRC=xxx.xxx.xxx.xxx DST=[unsere ext.IP] ...... DPT=80 .... (Auszug aus dem SOC)

Jetzt meine eigentliche Frage:
Gibt es eine Möglichkeit das Logging noch zu verfeinern, so dass ich ersehen kann auf welche Seiten von welcher IP zugegriffen wurde?
Gibt es eine Möglichkeit die Ursprungs-IP (MAC=SRC) an den Webserver durchzureichen?

Außerdem würde ich gerne loggen, wer, wann über Open-VPN mit der UTM verbunden war. Bitte auch Tipps hierzu.

Vielen lieben Dank schon mal an alle. :) :) :)

janh
Securepoint
Beiträge: 23
Registriert: Do 22.08.2013, 17:20

Beitrag von janh »

Hi, 

eine wirkliche Lösung ist nicht implementiert, aber vielleicht finden Sie ja ein paar Denkanstöße.

Der Reverse Proxy fügt in die weitergeleiteten Pakete einen sogenannten X-Forwarded-For Header ein, aus dem man die externe IP des Client herauslesen könnte. Leider ist das Logging nicht anpassbar, sodass man dieses Feld nicht für das LiveLog auslesen lassen kann. Vielleicht ist Ihr Zielserver in der Lage und hat ein Log in dessen er die Zugriffe speichert.

Auch für die OpenVPN gibt es keine fertige Lösung. Hier könnte man mit einem Syslogserver und ein wenig Arbeit eh im Logging nachvollziehen wer, wann und wie lange eingeloggt war.  Ein anderer Kunde hatte sich mit der Hilfe von der Ausgabe des Befehls "spcli openvpn status" sich etwas gebastelt. Diesen Befehl hatten wir alle 5 Minuten per Cronjob ausgeben lassen, damit er diese in seinem Logserver weiter auswerten konnte. 

MfG Jan

Antworten