Есть ISA 2004 Standart Edition. Вопрос - можно ли его обучить журналировать POST-запросы, проходящие через него со всем их POST-содержимым? Если да, то как?
Что есть POST-запросы? У меня с ним другая проблема: я пробрасываю FTP сервер с внешнего адреса на внутренний. Не пускает приконнектиться из внутренней же сети. Для всех пролтоколов работает, а для FTP - нет.
HTTP POST. Когда значения заносимых в форму полей передаются не в строке собственно запроса, а отдельным потоком I/O. Вот это содержимое полей, передаваемое POST запросом, и хочется логить.
Шур, ну почему ты делаешь то, на что сам ругаешься матерно, когда это делают тебе? Сказано же - СТОИТ ISA 2004 standart. УЖЕ стоит. Меняться на что-то не собирается. Блин!
Другое дело, что можно попробовать в цепочку увязать... ТОлько ХЗ что получится - в сети сквозная интегрированная NT-autentification. Не очень понятно как туда портированный с унихов продукт встанет. А ставить сквид ПОСЛЕ исы просто некуда.
Вобщем, суть идеи понятна. Если удастся в уже построенную и работающую систему впихнуть ещё один чужеродный продукт - я к тебе обращусь тогда по поводу настроек, да?
Да, кстати - не нужно пытаться поставить виндовый порт сквида. Ты меня потом за этот совет вообще анафеме предашь :). Поскольку умаешься оптимизировать его работу на NTFS, особенно под мощной загрузкой - по-хорошему, оно потребует под свой кэш отдельный носитель, и лучше SCSI. Сквид должен работать под юниксами, иначе получатся те же лыжи в гамаке.
Еще один вариант - протоколирование всех пакетов, имеющих отношение к HTTP-портам и последующий разбор их самопальными скриптами. Уж протоколировать-то ISA наверняка уметь должон. Но вот насчет скриптов... Опять получится трахома - ибо ни grep'а, ни sed'а, ни awk'а... Разве что виндовый порт perl'а поможет.
Бл.. ин! Если бы у меня сервера были униховыми то это было бы Действительно очевидное решение. Более того. Оно тоже было бы УЖЕ рабочим, отработанным и простым. Но сеть ЧИСТО Win. КОнкретно 2003/XP only. Всё. На этой основе УЖЕ наверчено ОЧЕНЬ много всего. И в первую очередь пресловутая сквозная NT аутентификация, которой это "много всего" вовсю пользуется. Я надеюсь, тебе не пришло в готову посоветовать мне менять этот базис на что-то другое?
Далее. Униховых машин внутри сети нет. Т.е. получается что внутрь сквид поставить не получится. Можно конечно попробовать поднять к-н ликух на к-н говне... Но овчинка выделки не стоит, IMHO. Особенно с учётом негарантированности результата.
ПРотоколировать ISA умеет вполне. За исключением __содержимого__ POST-запроса. А скрипты это не проблема. Perl есть. Аналог grep'а в виндах есть. В конце концов можно и порты awk'а и sed'а поставить.
Я надеюсь, тебе не пришло в готову посоветовать мне менять этот базис на что-то другое?
В твоем случае - наверное, нет. Слишком сложно. А я когда-то у себя, приняв сеть от прошлого админа - таки сломал все нафиг и переполз на юникс-технологии. Ибо это было куда проще, нежели и дальше трахаться с виндами...
ПРотоколировать ISA умеет вполне. За исключением __содержимого__ POST-запроса.
Погоди, что-то я не понимаю... ISA не умеет протоколировать содержимое голых tcp-пакетов?! Прямо вот так, целиком, вместе с хидером?!
Чего знаешь, то и ставишь. А вообще - "всё сломал и поставил что умею" это не аргумент IMHO. Я бы ещё понял, если б ты уних с виндами наравне в сети срастил... ТОгда и советы подобные по использованию убедительно выглядели. А так, религиозные войны, не более. Я вот например про вины и уних прямо противоположенное сказать могу. С виндами еботни ну совсем никакой, а унихом... Есть вещи, кривее сделанные в виндах, а есть в унихах. Ты знаешь юних, я виндовс. В свою очередь, ты не знаешь досконально винды, я уних. Потому те технологии, о которых в первую очередь подумешь ты, я буду использовать в самую наираспоследнюю очередь. И наоборот. Что посоветует рыба на вопрос "как лучше перепрыгнуть через камень"? Взмахиваешь плавниками, потом хвостом, надуваешь рыбий пузырь... Ага? ;))
Так вот про это самое-то как раз вопрос и был... Должен уметь по идее, но я не нашёл - как.
Ты вот только скажи - говоря про сквид ты вот эту строку имел ввиду или там есть ещё другой вариант?
Нет, приведенная строка к сквиду не относится вообще. Это команда включения протоколирования пакетов ядерным файрволлом. Тоже вариант решения (с последующим разбором протокола) - но далеко не самый оптимальный.
А сквид, как кэширующий прокси, умеет вести логи сам. Правда, есть два момента: 1) Все клиенты должны ходить к http-серверу через прокси, иначе нет смысла - и лучше всего это обеспечивается установкой transparent proxy, но умеет ли такое ISA - я не знаю. В унихе делается, опять же, одной строкой в конфиге файрволла :). 2) Я не уверен, что Сквид умеет вычленять из общего потока именно пакеты, порожденные HTTP POST (нужно, опять же, доку смотреть :). Но вот осаживать в кэше все, прошедшее через него, и вести подробный протокол всего прошедшего - умеет однозначно.
Ты ису энтерпрайз не пытался никуда ставить? Что-то я краем уха слышал, что она такое умеет, а стандарт типа нет. Вот только эта инфа из разряда ОБС. А проверить не получилось пока.
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
no subject
У меня с ним другая проблема: я пробрасываю FTP сервер с внешнего адреса на внутренний. Не пускает приконнектиться из внутренней же сети.
Для всех пролтоколов работает, а для FTP - нет.
no subject
no subject
no subject
Другое дело, что можно попробовать в цепочку увязать... ТОлько ХЗ что получится - в сети сквозная интегрированная NT-autentification. Не очень понятно как туда портированный с унихов продукт встанет. А ставить сквид ПОСЛЕ исы просто некуда.
Вобщем, суть идеи понятна. Если удастся в уже построенную и работающую систему впихнуть ещё один чужеродный продукт - я к тебе обращусь тогда по поводу настроек, да?
no subject
Если же нужны лыжи и гамак - то да, можно и дальше изо всех сил цепляться за то, что уже стоит и даже как-то работает. Но с ISA лично я тебе, увы, ничем помочь не могу...
Да, кстати - не нужно пытаться поставить виндовый порт сквида. Ты меня потом за этот совет вообще анафеме предашь :). Поскольку умаешься оптимизировать его работу на NTFS, особенно под мощной загрузкой - по-хорошему, оно потребует под свой кэш отдельный носитель, и лучше SCSI. Сквид должен работать под юниксами, иначе получатся те же лыжи в гамаке.
Еще один вариант - протоколирование всех пакетов, имеющих отношение к HTTP-портам и последующий разбор их самопальными скриптами. Уж протоколировать-то ISA наверняка уметь должон. Но вот насчет скриптов... Опять получится трахома - ибо ни grep'а, ни sed'а, ни awk'а... Разве что виндовый порт perl'а поможет.
no subject
Далее. Униховых машин внутри сети нет. Т.е. получается что внутрь сквид поставить не получится. Можно конечно попробовать поднять к-н ликух на к-н говне... Но овчинка выделки не стоит, IMHO. Особенно с учётом негарантированности результата.
ПРотоколировать ISA умеет вполне. За исключением __содержимого__ POST-запроса. А скрипты это не проблема. Perl есть. Аналог grep'а в виндах есть. В конце концов можно и порты awk'а и sed'а поставить.
no subject
В твоем случае - наверное, нет. Слишком сложно.
А я когда-то у себя, приняв сеть от прошлого админа - таки сломал все нафиг и переполз на юникс-технологии. Ибо это было куда проще, нежели и дальше трахаться с виндами...
ПРотоколировать ISA умеет вполне. За исключением __содержимого__ POST-запроса.
Погоди, что-то я не понимаю... ISA не умеет протоколировать содержимое голых tcp-пакетов?! Прямо вот так, целиком, вместе с хидером?!
no subject
Так вот про это самое-то как раз вопрос и был... Должен уметь по идее, но я не нашёл - как.
no subject
Должен уметь по идее, но я не нашёл - как.
Гыыы... :))
Уних:
iptables -t filter -A INPUT -p tcp --dport 80 -j LOG
Винда:
А хуй его знает - нужно долго и нудно рыться в доке, и то не факт, что вообще найдешь.
Это называется "ну совсем никакой еботни"?! ;))
Ладно, действительно holy war получается, лично я завязываю...
no subject
А в доках рыться всё равно надо. Что там что тут. И к еботне изучение доков я бы не относил.
Ладно. Действительно всё более менее понятно. Ты вот только скажи - говоря про сквид ты вот эту строку имел ввиду или там есть ещё другой вариант?
no subject
Нет, приведенная строка к сквиду не относится вообще. Это команда включения протоколирования пакетов ядерным файрволлом. Тоже вариант решения (с последующим разбором протокола) - но далеко не самый оптимальный.
А сквид, как кэширующий прокси, умеет вести логи сам. Правда, есть два момента:
1) Все клиенты должны ходить к http-серверу через прокси, иначе нет смысла - и лучше всего это обеспечивается установкой transparent proxy, но умеет ли такое ISA - я не знаю. В унихе делается, опять же, одной строкой в конфиге файрволла :).
2) Я не уверен, что Сквид умеет вычленять из общего потока именно пакеты, порожденные HTTP POST (нужно, опять же, доку смотреть :). Но вот осаживать в кэше все, прошедшее через него, и вести подробный протокол всего прошедшего - умеет однозначно.
no subject
no subject
no subject