descobrir informações [RESOLVIDO]

Existe alguma possibilidade de listar ip's ou mac's que estão passando fora do squid, ele são cadastrados no dhcp relacionando com os mac's.

Também gostaria de saber o que este ip acessando pois está fora do squid e não consigo ver no arquivo access.log.

Desculpe tantas pergutas que pode ser simples mas, fiz um curso a muito tempo e estou voltando a pratica, algumas coisas eu consigo outras não, e essas é uma das que não consigo. rs

Tentei pela internet, e achei o tcpdump(pois preciso via terminal), e num consigo o resultado esperado poís testei com o meu ip, mas mesmo passando pelo squid não consigo ver o meu ip trabalhando.

Alguem pode dar um help?

1º como esta configurado o proxy ? autenticado ? transparente ?
Verificou se não tem anda liberado nas regras do firewall ?

O proxy não é transparente eu preciso configura-lo, verifiquei agorinha com "iptables -L"

e me retornou os ips e macs liberados.

Vi o ip que queria, agora eu gostaria de saber os acessos dele, o ip é 192.168.1.21

gostaria de saber vi linha de comando o que este ip está acessando.

t pode usar o ntop pra isso pode ajudar
mas ai tem que instalar no seu firewall

Filtre pelo IP que deseja com o comando abaixo:

P.S Substitui o caminho access.log da forma que instalou o Squid

No meu caso é:

#tail -f /var/log/squid/access.log | grep IP
ou mais refinado #tail -f /var/log/squid/access.log | awk '{print "<IP>="$3"\t URL="$7}'

E com tcmdump #tcpdump -ni any host IP

Mas neste caso o ip do cara esta passando por fora.

usei o tcpdump, em um servidor aqui e o ip dele é 192.168.1.4, ficando assim.:

tcpdump -ni any host 192.168.1.4

Como decifrar este resultado, saber o que o cara acessou:

16:00:59.180279 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 220224:220676, ack 817, win 624, length 452
16:00:59.180382 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 220676:220840, ack 817, win 624, length 164
16:00:59.180479 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 220840:221004, ack 817, win 624, length 164
16:00:59.180576 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 221004:221168, ack 817, win 624, length 164
16:00:59.180682 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 221168:221332, ack 817, win 624, length 164
16:00:59.180780 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 221332:221496, ack 817, win 624, length 164
16:00:59.182523 IP 192.168.1.4.52053 > 192.168.1.1.22: Flags [.], ack 211888, win 441, length 0
16:00:59.182548 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 221496:221660, ack 817, win 624, length 164
16:00:59.182576 IP 192.168.1.4.52053 > 192.168.1.1.22: Flags [.], ack 212432, win 439, length 0
16:00:59.182622 IP 192.168.1.4.52053 > 192.168.1.1.22: Flags [.], ack 212856, win 437, length 0
16:00:59.182692 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 221660:221920, ack 817, win 624, length 260
16:00:59.182812 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 221920:222164, ack 817, win 624, length 244
16:00:59.182934 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 222164:222440, ack 817, win 624, length 276
16:00:59.183036 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 222440:222604, ack 817, win 624, length 164
16:00:59.183133 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 222604:222768, ack 817, win 624, length 164
16:00:59.183306 IP 192.168.1.4.52053 > 192.168.1.1.22: Flags [.], ack 213168, win 436, length 0
16:00:59.183328 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 222768:222932, ack 817, win 624, length 164
16:00:59.183356 IP 192.168.1.4.52053 > 192.168.1.1.22: Flags [.], ack 213660, win 434, length 0
16:00:59.183419 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 222932:223080, ack 817, win 624, length 148
16:00:59.183540 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 223080:223340, ack 817, win 624, length 260
16:00:59.183660 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 223340:223616, ack 817, win 624, length 276
16:00:59.184633 IP 192.168.1.4.52053 > 192.168.1.1.22: Flags [.], ack 214068, win 432, length 0
16:00:59.184664 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 223616:223780, ack 817, win 624, length 164
16:00:59.184742 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 223780:223928, ack 817, win 624, length 148
16:00:59.220695 IP 192.168.1.4.52053 > 192.168.1.1.22: Flags [.], ack 214508, win 430, length 0
16:00:59.220718 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 223928:224256, ack 817, win 624, length 328
16:00:59.220806 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 224256:224404, ack 817, win 624, length 148
16:00:59.272405 IP 192.168.1.4.52053 > 192.168.1.1.22: Flags [.], ack 214836, win 429, length 0
16:00:59.272426 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 224404:224732, ack 817, win 624, length 328
16:00:59.272512 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 224732:224880, ack 817, win 624, length 148
16:00:59.340649 IP 192.168.1.4.52053 > 192.168.1.1.22: Flags [.], ack 215260, win 428, length 0
16:00:59.340671 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 224880:225208, ack 817, win 624, length 328
16:00:59.340757 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 225208:225356, ack 817, win 624, length 148
16:00:59.340855 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 225356:225520, ack 817, win 624, length 164
16:00:59.374163 IP 192.168.1.4.52053 > 192.168.1.1.22: Flags [.], ack 215572, win 426, length 0
16:00:59.374188 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 225520:225848, ack 817, win 624, length 328
16:00:59.374325 IP 192.168.1.1.22 > 192.168.1.4.52053: Flags [P.], seq 225848:225996, ack 817, win 624, length 148
16:00:59.388758 IP 192.168.1.4.52053 > 192.168.1.1.22: Flags [P.], seq 817:869, ack 215572, win 426, length 52

Ela está usando uma conexão ssh (criptografada). Você pode bloquear esse acesso pelo iptables.

# iptables -I FORWARD -s 192.168.1.4 -p tcp --port 22 -j REJECT

isso num fez aparecer algo normal ainda não... Continua vindo tudo como estava antes