お疲れサマンサ!
今回も、まだまだ続いてるネットワークを変更しようの巻part3です。
ちょっとおさらい。
今のネットワーク
ONU ~ ルーター1 ~ PC
∟ ルーター2 ~ ラズパイ
変更後のネットワーク
ONU ~ ルーター1 ~ (プロキシ) ~ PC
∟ ルーター2 ~ ラズパイ
に変更して、ラズパイとついでにPCのアクセスログをプロキシで取得してしまおうという魂胆。
ついでに、ルーター1、ルーター2のログも取得してしまいましょう。
ひとまず、プロキシを立てます。
本末転倒気味ですが、ラズパイ使いましょう。
piユーザ消したり、ip固定にしたり、ssh先を限定したり、GUIログインしないようにしたり、wifi切ったりと、いろいろ設定してます。
(そのブログは、またの機会に・・・w
プロキシサーバは簡単と噂されている気がしないでもないsquidにしましょう。
ラズパイ(192.168.2.10)で、apt-getでsquidを取得します。
# apt-get install squid
はい完了!w簡単!
あとは設定をイジイジするため先人たちの知恵を借ります。
【参考】
Raspberry PiをHTTP/HTTPSプロキシサーバーにしてみた
# vi /etc/squid/squid.conf
ローカルネットワークを定義。
acl lan1 src 192.168.2.0/24 acl lan2 src 192.168.3.0/24
squidのポートを設定。
定番のヤツにしてみました。
http_port 0.0.0.0:8080
それから、iptablesで、squidへの通信をACCEPTしましょう。
-A INPUT -p tcp -s 192.168.2.0/24 --dport 8080 -j ACCEPT -A INPUT -p tcp -s 192.168.3.0/24 --dport 8080 -j ACCEPT
サービスを再起動して、SQUIDへの疎通を確立させましょう。
systemctl restart netfilter-persistent systemctl restart squid
では、次にルーター2のフィルタをプロキシ経由のみ通すように変更しますー。
先アドレス:プロキシIP 宛先ポート:8080 プロトコル:TCP 許可
送信元アドレス:192.168.3.0/24 送信元ポート:すべて 拒否
ん~、完成!
では、192.168.3.0/24のセグから、アクセスしてみましょう。
(確認のため、win機を192.168.3.0/24セグにしますー)
普通にアクセスすると、、、
プロキシの設定を入れます。
そして、アクセスすると、、、
アクセスできましたね!
肝心のsquidのログはアクセス時間があれなのでお見せできませんがw
これで、192.168.3.0/24セグからは、プロキシを踏まないとインターネットに接続できない状態になりましたー。
これで、また少し安全になりました!
次に、syslogサーバも立てましょう。
またまたアレな感じですが、ラズパイの上に集めましょう。
syslogサーバは、設定が分かりやすいsyslog-ngにします。
ラズパイ(192.168.2.10)で、apt-getでsyslog-ngを取得します。
# apt-get install syslog-ng
はい完(ry
こっちも設定をイジイジ。
混ざりっ気のあるconfは、不機嫌になる原因なので避けましょうw
# vi /etc/syslog-ng/conf.d/routerLog.conf
入出力とフィルタを記入して、log設定done.
source s_router {udp(port(514));}; destination d_router { file(/var/log/routerLog); }; filter f_router { host(192.168.2.1) or host(192.168.3.1); }; log { source(s_router); filter(f_router); destination(d_router); };
それから、iptablesで、syslog通信をACCEPTしましょう。
-A INPUT -p udp -s 192.168.2.1 --dport 514 -j ACCEPT -A INPUT -p udp -s 192.168.3.1 --dport 514 -j ACCEPT
サービスを再起動しましょう。
systemctl restart netfilter-persistent systemctl restart syslog-ng
これで、ログ取得側の準備が整ったので、ルーターからログを飛ばしましょう。
設定を登録すると、、、
がんがんUPDのsyslogが流れてくるはずです!
個人的には、TCPでsyslog転送できるといいんですが、牛さんが対応してない・・・。
これでまた一ついい感じになりました!
次は、いい感じのおもちゃが手に入ったので、それについて書きます。
でゎでゎ、ヨロコ