5
Verbindungen loggen bei Pfsense
Hallo
ich hoffe ihr könnt mir helfen?
Bei mir läuft seit ein paar Wochen die aktuelle Version von Pfsense inkl. Capture Portal. Das funktioniert auch so wie ich das gern haben möchte. Leider bin ich mit den Syslogs überhaupt nicht zufrieden. Soweit ich das sehe, loggt der fast ausschließlich das war geblockt wird, aber keine erlaubten Ausgehenden Verbindungen. Ich wie weit das jetzt erlaubt ist, spielt jetzt erst einmal keine Rolle.
Ich kenne das ganze von meinem vorherigem Router (Vigor 2930), der gibt mir jeweils einen Eintrag wenn eine Verbindung aufgebaut wird und wenn diese wieder geschlossen wird, jeweils mit interner und externer IP und Port.
Genau das brauche ich auch von der Pfsense. Muss ich dazu irgendwelche extra Plugins installieren, oder hab ich einfach nur was falsch eingestellt?
Wollte vorhin ausschalten, dass nicht mehr die ganzen unnötigen geblockten Verbindungen geloggt werden, dachte das ging über diesen Eintrag: "Log packets blocked by the default rule" aber dann kommt nix mehr beim Syslog Server an.
Und bevor der ein oder andere jetzt sagt, ich darf die Verbindungen nicht mitloggen... da sind die Anwälte von den ganzen Film - und Musikfirmen anderer Meinung. Die stellen mich nämlich vor die Wahl, entweder ich kanns nachweisen wer was hochgeladen hat oder ich muss den ganzen Mist bezahlen. Hab den Fall hier nämlich gerade.
Vielen Dank schonmal
Compua
ich hoffe ihr könnt mir helfen?
Bei mir läuft seit ein paar Wochen die aktuelle Version von Pfsense inkl. Capture Portal. Das funktioniert auch so wie ich das gern haben möchte. Leider bin ich mit den Syslogs überhaupt nicht zufrieden. Soweit ich das sehe, loggt der fast ausschließlich das war geblockt wird, aber keine erlaubten Ausgehenden Verbindungen. Ich wie weit das jetzt erlaubt ist, spielt jetzt erst einmal keine Rolle.
Ich kenne das ganze von meinem vorherigem Router (Vigor 2930), der gibt mir jeweils einen Eintrag wenn eine Verbindung aufgebaut wird und wenn diese wieder geschlossen wird, jeweils mit interner und externer IP und Port.
Genau das brauche ich auch von der Pfsense. Muss ich dazu irgendwelche extra Plugins installieren, oder hab ich einfach nur was falsch eingestellt?
Wollte vorhin ausschalten, dass nicht mehr die ganzen unnötigen geblockten Verbindungen geloggt werden, dachte das ging über diesen Eintrag: "Log packets blocked by the default rule" aber dann kommt nix mehr beim Syslog Server an.
Und bevor der ein oder andere jetzt sagt, ich darf die Verbindungen nicht mitloggen... da sind die Anwälte von den ganzen Film - und Musikfirmen anderer Meinung. Die stellen mich nämlich vor die Wahl, entweder ich kanns nachweisen wer was hochgeladen hat oder ich muss den ganzen Mist bezahlen. Hab den Fall hier nämlich gerade.
Vielen Dank schonmal
Compua
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 181904
Url: https://administrator.de/contentid/181904
Ausgedruckt am: 26.11.2024 um 01:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
Leite ALLE Protokolle auf ein anderes Gerät / Server / PC um. Dann bleiben die auch erhalten. http://doc.pfsense.org/index.php/Copying_Logs_to_a_Remote_Host_with_Sys ... http://doc.pfsense.org/index.php/Category:Logs
Gruß,
Peter
Zitat von @Compua:
Leider bin ich mit den Syslogs überhaupt nicht zufrieden. Soweit ich das sehe, loggt der fast ausschließlich das war geblockt wird, aber keine erlaubten Ausgehenden Verbindungen.
Hast du denn alles nötige dafür richtig Eingestellt?Leider bin ich mit den Syslogs überhaupt nicht zufrieden. Soweit ich das sehe, loggt der fast ausschließlich das war geblockt wird, aber keine erlaubten Ausgehenden Verbindungen.
über diesen Eintrag: "Log packets blocked by the default rule" aber dann kommt nix mehr beim Syslog Server an.
Gar nichts mehr oder nur die geblockten nicht mehr?Die stellen mich nämlich vor die Wahl, entweder ich kanns nachweisen wer was hochgeladen hat oder ich muss den ganzen Mist bezahlen.
Hochgeladen hat.Hab den Fall hier nämlich gerade.
Und jetzt willst du nachträglich Protokolle für bereits festgestellte (und dokumentierte) Verstöße haben? Oder willst du nachweisen das obwohl du weiterhin hochlädst es doch nicht du warst?Leite ALLE Protokolle auf ein anderes Gerät / Server / PC um. Dann bleiben die auch erhalten. http://doc.pfsense.org/index.php/Copying_Logs_to_a_Remote_Host_with_Sys ... http://doc.pfsense.org/index.php/Category:Logs
Gruß,
Peter
Ich hoffe dass ich alles richtig eingestellt hab.
Nochmal zum besseren Verständnis, ich betreibe ein kleines Netzwerk inkl. Internet in einem Studentenwohnheim, damit sich nicht jeder eine eigene Leitung holen muss, manche Leute nur ein paar Monate hier sind und deshalb stelle ich mein Internet denen mit zur Verfügung. Natürlich mit entsprechender Vereinbarung die vom Benutzer unterschrieben werden muss. In dieser steht auch, explizit nochmal drin, dass nicht gegen geltendes Recht und so verstoßen werden darf. P2P, Terror und sowas eben.
Das ganze lief bisher allein über die Freischaltung der entsprechenden Mac Adresse in dem besagten Router. Das hat bisher auch alles funktioniert, jedoch muss ich jede einzelne Mac Adresse freischalten und um dass ganze etwas zu vereinfachen, habe ich die Pfsense mit Capture Portal aufgesetzt.
Ich selbst surfe natürlich mit über die Leitung, was aber nicht heißt, dass ich P2P oder sonstiges nutze.
Leider hat aber ein Nutzer vor etwa einem halben Jahr Torrent angehabt und wollte/hat Filme gesaugt. Deshalb hab ich jetzt Post von einer Anwaltskanzlei, mit ner Abmahnung und Unterlassungserklärung. Ich habe von der Zeit natürlich noch die Logs vom Router und kann somit nachweisen wer den besagten Film an dem Tag mittels Torrent hochgeladen hat. Mir gehts jetzt darum, dass wenn ich in Zukunft mal wieder Post bekommen sollte, ich dazu auch entsprechende Logs habe. Damit ich nicht den Mist bezahlen darf.
Ich will damit nicht nachträglich erstellen oder sonst was. Es geht allein darum, um in Zukunft auf der sicheren Seite zu sein.
Wie gesagt ich kann mittels alter Logs nachweisen wer es war.
Achso es läuft ein extra Rechner nebenher mit nem Syslog Programm, welches diese auch speichert. Nur als ich das "Log packets blocked by the default rule" ausgemacht hab, kam garnix mehr an, nur noch die Logs vom DHCP und vom Capture Portal. Ich denke ich hab irgendwo was verpasst einzuschalten oder so. Es sieht nämlich so aus, als ob keine Verbindungen geloggt werden, die durchgelassen werden.
Gruß Compua
Nochmal zum besseren Verständnis, ich betreibe ein kleines Netzwerk inkl. Internet in einem Studentenwohnheim, damit sich nicht jeder eine eigene Leitung holen muss, manche Leute nur ein paar Monate hier sind und deshalb stelle ich mein Internet denen mit zur Verfügung. Natürlich mit entsprechender Vereinbarung die vom Benutzer unterschrieben werden muss. In dieser steht auch, explizit nochmal drin, dass nicht gegen geltendes Recht und so verstoßen werden darf. P2P, Terror und sowas eben.
Das ganze lief bisher allein über die Freischaltung der entsprechenden Mac Adresse in dem besagten Router. Das hat bisher auch alles funktioniert, jedoch muss ich jede einzelne Mac Adresse freischalten und um dass ganze etwas zu vereinfachen, habe ich die Pfsense mit Capture Portal aufgesetzt.
Ich selbst surfe natürlich mit über die Leitung, was aber nicht heißt, dass ich P2P oder sonstiges nutze.
Leider hat aber ein Nutzer vor etwa einem halben Jahr Torrent angehabt und wollte/hat Filme gesaugt. Deshalb hab ich jetzt Post von einer Anwaltskanzlei, mit ner Abmahnung und Unterlassungserklärung. Ich habe von der Zeit natürlich noch die Logs vom Router und kann somit nachweisen wer den besagten Film an dem Tag mittels Torrent hochgeladen hat. Mir gehts jetzt darum, dass wenn ich in Zukunft mal wieder Post bekommen sollte, ich dazu auch entsprechende Logs habe. Damit ich nicht den Mist bezahlen darf.
Ich will damit nicht nachträglich erstellen oder sonst was. Es geht allein darum, um in Zukunft auf der sicheren Seite zu sein.
Wie gesagt ich kann mittels alter Logs nachweisen wer es war.
Achso es läuft ein extra Rechner nebenher mit nem Syslog Programm, welches diese auch speichert. Nur als ich das "Log packets blocked by the default rule" ausgemacht hab, kam garnix mehr an, nur noch die Logs vom DHCP und vom Capture Portal. Ich denke ich hab irgendwo was verpasst einzuschalten oder so. Es sieht nämlich so aus, als ob keine Verbindungen geloggt werden, die durchgelassen werden.
Gruß Compua
Hi !
Du wirst nie auf der sicheren Seite sein, solange der Gesetzgeber (Stichwort Störerhaftung) dem jetzigen Treiben der Abmahnanwälte keine Grenzen setzt und was wohl momentan auch nicht anzunehmen ist. Sich mit einfachen Textlogfiles aus der Schlinge ziehen zu wollen, mag bei geständigen Tätern (und einsichtigen Anwälten) noch funktionieren aber sobald sowas mal vor Gericht landet oder ein evt. Täter deine Daten anzweifelt, wirst Du mit deinen Logfiles nicht mehr viel erreichen. Gegen das Datenschutzgesetz verstöszt Du sowieso und eindeutig, wenn Du mehr als nur die reinen Verbindungsdaten loggst. Als reine Verbindungsdaten reichen auch die Daten des Captive Portals. Ich würde mich an deiner Stelle von einem Fachanwalt für IT Recht (mit Schwerpunkt Urheberrecht im WWW) beraten lassen. Lesestoff zu dem Thema gibt es hier.
Und bei der Firewall würde ich mit einer Whitelist arbeiten (also nur das erlauben was unbedingt notwendig ist) und alle anderen Pakete komplett sperren. Das bietet natürlich keine absolute Sicherheit aber nach meiner Erfahrung hält es zumindest die "Filesharing wollte ich auch schon immer mal ausprobieren" - Fraktion (etwas) davon ab.
mrtux
Zitat von @Compua:
Ich will damit nicht nachträglich erstellen oder sonst was. Es geht allein darum, um in Zukunft auf der sicheren Seite zu
sein.
Ich will damit nicht nachträglich erstellen oder sonst was. Es geht allein darum, um in Zukunft auf der sicheren Seite zu
sein.
Du wirst nie auf der sicheren Seite sein, solange der Gesetzgeber (Stichwort Störerhaftung) dem jetzigen Treiben der Abmahnanwälte keine Grenzen setzt und was wohl momentan auch nicht anzunehmen ist. Sich mit einfachen Textlogfiles aus der Schlinge ziehen zu wollen, mag bei geständigen Tätern (und einsichtigen Anwälten) noch funktionieren aber sobald sowas mal vor Gericht landet oder ein evt. Täter deine Daten anzweifelt, wirst Du mit deinen Logfiles nicht mehr viel erreichen. Gegen das Datenschutzgesetz verstöszt Du sowieso und eindeutig, wenn Du mehr als nur die reinen Verbindungsdaten loggst. Als reine Verbindungsdaten reichen auch die Daten des Captive Portals. Ich würde mich an deiner Stelle von einem Fachanwalt für IT Recht (mit Schwerpunkt Urheberrecht im WWW) beraten lassen. Lesestoff zu dem Thema gibt es hier.
Und bei der Firewall würde ich mit einer Whitelist arbeiten (also nur das erlauben was unbedingt notwendig ist) und alle anderen Pakete komplett sperren. Das bietet natürlich keine absolute Sicherheit aber nach meiner Erfahrung hält es zumindest die "Filesharing wollte ich auch schon immer mal ausprobieren" - Fraktion (etwas) davon ab.
mrtux
Hi,
irgendwie ist das Thema ja mittlerweile untergegangen. Hast du es mittlerweile geschafft? Ich sitze momentan an einem ähnlichen Problem. Ich habe das log über Squid realisiert und es funktioniert auch, zumindest für HTTP.
Jetzt wollte ich gerne auch den HTTPS Verkehr über den Proxy loggen und komm hier aber nicht weiter.
Wie schauts bei dir aus?
irgendwie ist das Thema ja mittlerweile untergegangen. Hast du es mittlerweile geschafft? Ich sitze momentan an einem ähnlichen Problem. Ich habe das log über Squid realisiert und es funktioniert auch, zumindest für HTTP.
Jetzt wollte ich gerne auch den HTTPS Verkehr über den Proxy loggen und komm hier aber nicht weiter.
Wie schauts bei dir aus?
soweit ich mich erinnern kann: unter Rules muss genau bei der Regel die den normalen erlaubten Trafic durchlässt, der Haken gesetzt sein fürs loggen. Kann jetzt grad nicht in meine pfsense schauen.
