PhenIXUS

[ben350ci]

Salut,
j'aimerai savoir s'il y a un moyen automatique pour résoudre les @IP affichées dans la table des connexions active (states) pour y voir plus clair sur les connexions en cours.
Merci de votre aide.

[ccnet]

Pas trouvé dans le version 1.2.3. Il y a cependant une raison. Cette résolution représente une charge non négligeable pour le firewall.

[Franck78]

Cette résolution représente une charge non négligeable pour le firewall.

Ca a été ma première pensée mais en y réfléchissant un peu, la charge peut devenir quasi nulle.

-il est très probable que le dns forwarder dispose encore de l'information dans son cache. Si bien sur il y a l'API prévue à cet effet. Autant d'interrogation en moins.

-ensuite, combien y a-t-il de lignes affichées par page :20, 50 sur un total de disons 2000 sessions ? Seul un programmeur débutant résoudra les 2000 sessions pour en afficher 20...



Franck

[ben350ci]

Je suis en version 2.
Il y a régulièrement des pointes d'environs 2000 lignes, mais en fonctionnement "normal" il y a à peu prés 300 connexions.
Dans "States Summary" ça me permet de voir au premier coup d'oeil si une machine contient une quantité anormale de connexions.
Seulement, en plus, j'aurais aimé voir aussi dans cette table rapidement quels sites ou machines distantes étaient liées aux machines du LAN.

Edit: Ça pourrait faire l'objet d'un développement d'une future màj, non? Ce n'est pas utile pour vous?

[Franck78]

Dans "States Summary" ça me permet de voir au premier coup d'oeil si une machine contient une quantité anormale de connexions

oui sans doute pendant les trois minutes journalières consacrées à flaner devant l'écran

Il est surement plus efficace de trouver un véritable outil de monitoring qui signalera la plus petite déviation par rapport à la baseline que tu auras choisie !

[ben350ci]

c'est pas faux. tu as un exemple?

[jdh]

L'argument de ccnet sur la charge de décodage reverse dns me parait juste.
(On trouve ce genre de question pour les logs de Squid ...)
L'argument de Franck78 est aussi juste : on regarde au maxi 3' par jour en moyenne les trafic entrants/sortants.

ntop est un package qui peut avoir de l'intérêt pour évaluer le trafic entre une ip interne et l'externe (proto par proto).

Cependant, hors le traffic http, usuellement dans une entreprise, on sait le trafic existant : serveur mail vers relais mail du FAI, entrée mail vers smtp relais, clients web vers serveur web, trafic site-à-site, ...
Donc, il importe de regarder directement le log du proxy car, de mon expérience, c'est souvent 50% du trafic.