Image

Bilgi Veritabanı → Squid transparent üzerinden NAT kullanarak trafik takibi

[Virtual sunucular]
Yayın tarihi: 12.03.2024

Varsayılan olarak, sunucu yönlendirici modunda çalışır ve görev, sunucumuza bağlı tüm yerel cihazların tüm web trafiğini takip etmektir.

Geçerli yapılandırma burada açıklanmıştır: Linux Debian'da NAT Yapılandırması (yerel ağda internet)

Tüm web trafiğini Squid’e yönlendireceğiz, bu da cihazlara göre gruplandırılmış olarak tüm siteler hakkında ayrıntılı istatistikler elde etmemizi sağlayacak.

1. Squid ve ssl bileşenlerini kuracağız

apt install squid squid-openssl

1.1 Öz imzalı bir sertifika oluşturacağız

Bu sertifika, 443 portundaki trafiğin yönlendirilmesi için gereklidir.

mkdir -p /etc/squid/ssl
openssl req -new -newkey rsa:2048 -days 365 -nodes -x509 -keyout squidCA.pem -out /etc/squid/ssl/squidCA.pem

1.2 Squid yapılandırmasını aşağıdaki şekle getireceğiz

nano /etc/squid/squid.conf
...
acl localnet src 100.100.100.0/24
...
acl SSL_ports port 443
acl Safe_ports port 80		# http
...
http_access allow localhost
...
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER
...
http_port 3128
http_port 3129 intercept
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump splice all
https_port 3130 intercept ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/squid/ssl/squidCA.pem

1.2.1 Hizmeti yeniden başlatacağız

service squid restart

1.3 Web trafiğini proxy sunucumuza yönlendireceğiz

iptables -A PREROUTING -t nat -p tcp --dport 80 -j REDIRECT --to-port 3129
iptables -A PREROUTING -t nat -p tcp --dport 443 -j REDIRECT --to-ports 3130

1.4 Trafik akışını kontrol edeceğiz

tail -f /var/log/squid/access.log

Yerel ağdaki bir cihazdan herhangi bir siteyi açmayı deneyin; günlüğe bizim eylemlerimizle ilgili olaylar kaydedilmiş olmalıdır.

1710202038.351   5012 100.100.100.101 TCP_TUNNEL/500 3815 CONNECT synay.net:443 - ORIGINAL_DST/89.104.77.7 -
1710202108.954  75616 100.100.100.101 TCP_TUNNEL/500 9916 CONNECT synay.net:443 - ORIGINAL_DST/89.104.77.7 -

Hazır, şimdi tüm web trafiği squid hizmeti üzerinden geçiyor ve SARG kullanarak kolay okunabilir bir günlük elde edebiliyoruz, nasıl ayarlanacağını burada bulabilirsiniz: SARG kurulum ve yapılandırma SQUID proxy sunucusunda.

Artık ofisimizdeki tüm cihazların web trafiği izleniyor ve istediğimiz zaman hangi cihazın hangi sitelere eriştiğini, erişim zamanını ve veri hacmini görebiliyoruz.





No Comments Yet