PfSense Firewall & Squid Entegrasyonu ( Syslog )

Islemlere baslamadan once oluşabilecek problemlere karşın Pfsense Firewall ayarlarının yedeğinin alınması gereklidir. 

pfsensebackup1.png

Not : Backup Area alanında bulunan tüm seçeneklerin ayrı ayrı backuplarının alınması gereklidir. 

pfsensebackup2.png

 SYSTEM SYSLOG ENTEGRASYONU

1- Pfsense web arayüzünde Status > System Logs menüsüne girilir. Gelen pencerede yukarıdan Settings seçilir. Enable syslogging to remote syslog server seçeneği işaretlenir. Server 1 kısmına Logsign Focus IP adresi yazılır. Loglama opsiyonlarında Everything işaretlenir veya Firewall kısmında hangi logların alınması istiyorsak tek tek seçilir ve kaydedilir.

pfsensesyslog.png

2- logger.php dosyasını Winscp bağlantısı yaparak /etc/inc/ dizinin altına atıyoruz. Winscp kullanımı ile  ilgili linkten yardım alabilirsiniz.(http://support.logsign.net/entries/22064773-winscp-ile-backup-alma)

NOT : logger.php dosyasına bu linkten ulaşabilirsiniz.(http://download2.innotim.com/download/scripts.php?script=logger)

3Pfsense’e SSH ile bağlantı sağlayarak (Root) “Enter an option” alanına 8 yazıp shell’e düşüyoruz. /etc/inc dizinin de üzerinde işlem yapacağımız filter.inc dosyanın bir kopyasını kopyasını alıyoruz. İlgili komut:cp filter.inc fitler.inc.bck (ihtiyac duyulduğunda geri dönmek için)

pfsensesshconnection.png

etcdizini.png

pf1.PNG

Not: Pfsense versiyon 2 ve sonrasında Firewall logları iki satır olarak gelmektedir. Bu loglama yazılımları için bir problem teşkil etmektedir. Bu problemin giderilebilmesi için Pf Sense konfigürasyonuna SSH üzerinden ulaşarak; /etc/inc/filter.inc dosyasının düzenlenmesi gerekmektedir. Dosyayı bir editör ile açtığımızda mwexec_bg satırının varsayılan olarak aşağıdaki gibidir:

mwexec_bg("/usr/sbin/tcpdump -s 256 -v -l -n -e -ttt -i pflog0 | logger -t pf -p local0.info");

3- filter.inc dosyasını vi komutuyla açıyoruz.(İlgili Komut: vi filter.inc)

İlgili satırını bulup aşağıdaki ile değiştiriyoruz.

 mwexec_bg("/usr/sbin/tcpdump -s 256 -v -l -n -e -ttt -i pflog0 | php /etc/inc/logger.php");

pf2.PNG

PFSENSE SQUID AYARLARI

Web raporlarının oluşabilmesi için proxy servisi çalışıyor olmalıdır. Çalışan servisin loglarının alınabilmesi için arayüzde Services > Proxy server seçilir. Gelen pencerede en altta Custom Options kısmına

access_log syslog:deamon common satırı eklenir ve kaydedilir.

Pfsensesq1.png

PfsenseSq2.png

Settings menüsünden Data Input > Device List seçilir ve gelen pencerede Add New Source butonuna tıklanır.

Pfsense loglarını Syslog ile göndereceği için Syslog seçeneği tıklanır.

Listeden Pfsense Plug-in seçilir.

Gerekli bilgiler girildikten sonra firewall cihazımızı syslog olarak eklemiş oluyoruz.

 

Başka sorularınız var mı? Bir talep gönder

Yorumlar

  • Avatar
    Hakan Cetin

    mwexec_bg("/usr/sbin/tcpdump -s 256 -v -l -n -e -ttt -i pflog0 | logger -t pf -p local0.info");

    satırı bulamıyorum ?