防火牆連線log問題 - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

0

防火牆連線log問題

防火牆日誌 log

mmmnnnbbb 2012-12-07 02:59:57 ‧ 6048 瀏覽

請問各位前輩防火牆紀錄的log 會有哪些
狀況A:client 使用9898port開啟網頁
client -> web 只有一條連線的log ????
1.source client 9898 TO Destination web 80
還是兩條????
1.source client 9898 TO Destination web 80
2.Destination web 80 from source client 9898

狀況B:client 使用9898port上傳文件
如果client 上傳檔案至web，那防火牆的log會有
Destination web 80 TO source client 9898(or any)
這一條嗎?????

林門神JanusLin iT邦超人 1 級 ‧ 2012-12-07 20:45:00 檢舉

Firewall log 是已經簡化過的
有興趣的話建議用一下Wireshark

登入發表討論

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

2 個回答

4

cmwang

iT邦大師 1 級 ‧ 2012-12-07 09:24:36

HTTP本身是connection less的,除非開了keep alive,不然每個connection做完一開始預期的工作後就會close掉了(i.e.要做每件事都得開一個connection),so....

回應 1
分享
檢舉

mmmnnnbbb iT邦新手 4 級 ‧ 2012-12-07 16:33:07 檢舉

那請問一下大大如果突然間client網路中斷 web 80port 還會發出一個ack的確認封包嗎??

登入發表回應

8

zackhuang

iT邦新手 2 級 ‧ 2012-12-07 10:41:19

我也有類似問題

不過在我的想法，防火牆不紀錄方向

所以 web:80 -> client:9898 = web <- client:9898

所以FW的連線紀錄只會有一筆 web:80 <-> client:9898

舉例來說，我Cisco ASA的CONN紀錄：

TCP outside 67.XXX.111.XXX:49698 dmz 10.XX.XX.245:80

而不會同時再有另外一筆

TCP dmz 10.XX.XX.245:80 outside 67.XXX.111.XXX:49698

回應 1
分享
檢舉

mmmnnnbbb iT邦新手 4 級 ‧ 2012-12-07 11:48:07 檢舉

我也有類似問題
不過在我的想法，防火牆不紀錄方向
所以 web:80 -> client:9898 = web <- client:9898
所以FW的連線紀錄只會有一筆 web:80 <-> client:9898

感謝大大的回覆因為在我印象中應該也只有一筆
但我們這的防火牆的確多的一筆
類似這樣的紀錄
TCP dmz 10.XX.XX.245:80 outside 67.XXX.111.XXX:49698
唉~~努力追問題中

登入發表回應

我要發表回答

立即登入回答

參賽組數

1123 組

團體組數

52 組

累計文章數

23096 篇

完賽人數

656 人

15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js

IT邦幫忙