Нахождение частного (NAT) IP хоста с помощью исторических целевых данных
svn может использоваться для обеспечения и управления версиями и распределения файлов конфигурации. мерзавец или bzr и т.д. могли также использоваться.
отредактируйте файлы на 'основном' сервере, svn фиксируют их, и или задание крона или ssh могут выполнить затем 'svn обновление' на 'ведомых' серверах.
Я склонен использовать ssh и настраивать доступ пароля меньше, чтобы позволить 'основному' серверу выполнять конкретный Make-файл на ведомых устройствах - выполнения Make-файла 'svn обновление', и это - находящиеся в filestamp правила зависимости, затем решает то, что другие вещи должны быть сделаны (например, генерировать хешированного пользователя дб или файлы группы из текста, добавьте или удалите IP-адреса из nic, перезапустите апача, и так далее - любое время, когда можно решить, что последовательность действий является иждивенцем после изменения файла и/или другой последовательности действий, является хорошим кандидатом на использование, делают для автоматизации процесса).
даже на 'основном' сервере, всем управляют, делают. отредактируйте один или несколько файлов конфигурации и затем работайте, делают. Make-файл выясняет, что потребности быть сделанными (svn фиксация, генерируйте фрагменты конфигурации из исходных входных файлов, 'ssh делают' к другим серверам, и т.д.). использование делает как это, гарантирует, что каждый шаг сделан в правильном порядке, и что ни о каком шаге не забывают. и создание svn основная часть процесса гарантирует, что каждое изменение фиксируется с меткой времени и объяснением в журнале фиксации.
конечно, многие использовали бы марионетку или что-то как он, чтобы сделать это. если я должен был запустить с нуля, я, вероятно, был бы также...., но я делал его как это в течение многих лет, задолго до того, как марионетка была вокруг. были подобные инструменты вокруг перед марионеткой, но марионетка является первой, я видел, что это похоже на нее, могло бы на самом деле стоить проблемы измениться..., но трудно выровнять по ширине изменение чего-то, что работает хорошо на что-то, что только похоже на нее, будет, вероятно, работать лучше.
В отношении вопросов от @jowqwerty я предполагаю, что Вы ответственны за Cisco ASA и внутреннюю сеть позади него, корректны?
Если так, Вы на правильном пути. Я рекомендовал бы использовать вход и/или функции получения ASA для сужения трафика.
Чем больше можно сузить место назначения, тем лучше. Вы упоминаете, что имели подсеть назначения, у Вас есть целевой протокол (протоколы)/порт также? Я создал бы ACL, который соответствует месту назначения и регистрирует хиты.
Например:
ip access-list extended find_infected
permit <tcp/udp> any <destination subnet> <destination mask> eq <destination port> log
Затем примените такой ACL к внутреннему интерфейсу ASA. Затем будущее перекрестной ссылки злоупотребляет отчетами с Вашими записями в журнале.
Функция получения основывается на этом методе поиска и устранения неисправностей, позволяя Вам получить торговлю форматом PCAP. Затем можно далее проанализировать его с инструментами, такими как WireShark.
ASA/PIX/FWSM: Пакетное Получение с помощью CLI и Примера Конфигурации ASDM