gen 302013
 

Quando si ha un server web dietro un reverse proxy o acceleratore HTTP, come ad esempio Varnish i log del server visualizzeranno l’IP del proxy (di solito 127.0.0.1) anziché l’IP dell’utente finale.
Questo è un problema quando si dispone di un software come webalizer , awstats o simili programma di analisi dei file di log, perché si perde una delle informazioni più importanti: “Chi è il richiedente di una pagina? “, inoltre avendo tutti gli accessi provenienti dallo stesso IP (127.0.0.1) si perdono informazioni come “Qual è il modello di navigazione dei visitatori? “, “Qualcuno sta cercando di fare qualcosa di brutto?”

In questo piccolo how-to vi mostrerò come mettere questa informazione nei vostri file di logs di Nginx in 2 modi diversi. Continue reading »

flattr this!

mar 222012
 

Questo è un mio articolo, pubblicato la prima volta su Wazi
Trovate la prima parte dell’articolo qua

In questo articolo vedremo come applicare i filtri BPF di wireshark per mostrare le caratteristiche di una sessione HTTP, di una di posta e come controllare chi sta visitando un certo sito dalla nostra rete locale.
Infine vi farò un riassunto dei filtri più utili da utilizzare con Wireshark.

Ecco un altro esempio classico - una sessione HTTP. Come prima cosa, avviare Wireshark e iniziare a catturare il traffico dall’interfaccia che esce in rete. Oggi la maggior parte del traffico HTTP è compresso per accelerare lo scambio di informazioni, quindi di default Wireshark decomprime la parte del corpo dei pacchetti HTTP. È possibile fare clic su Modifica ->Preferenze -> Protocols -> HTTP e verificare che “Uncompress entity bodies” sia selezionato.
Continue reading »

flattr this!

feb 152012
 

Oggi voglio darvi giusto una pillola, ma sono sicuro che anche se corto questo articolo potrà far risparmiare del tempo a qualcuno che, come me, ha questa esigenza.
Ovvero avendo una macchina Linux con sopra il Proxy Server Squid e vari IP (che possono essere Ipv4 e/o ipv6) configurare come proxy del proprio browser uno di questi ed uscire dalla macchina con quello stesso IP e non con l’ip di default.

Questo può essere utile se si dispone di servizi che richiedono uno specifico IP, o se si vuole dare il proxy a persone diverse ed essere ancora in grado di tracciare quello che fanno.
Per raggiungere questo obiettivo useremo le ACL, Squid ha delle ottime ACL (Access Control Lists), incorporate nel file squid.conf, che consente di bloccare o controllare l’accesso riferendosi al nome, l’IP, le reti, l’ora del giorno, giorno effettivo . Ricordate però che, come ogni firewall, più complicata è una ACL e più lento risulterà Squid nel rispondere alle richieste.
Continue reading »

flattr this!