Автор Тема: Логирование порта  (Прочитано 8024 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ivo

  • Пользователь
  • *
  • Сообщений: 13
Логирование порта
« : 08 Марта 2013, 08:24:14 »
Подскажите пожалуйста как  сделать логирование всех подсоединений на определенный порт
Мне нужен лог коннектов на порт 35444. Как я могу получить такой лог?
заранее спасибо
Benefacta male locata malefacta arbitror- Благодеяния, оказанные недостойному, считаю злодеяниями
 

Оффлайн ivo

  • Пользователь
  • *
  • Сообщений: 13
Re: Логирование порта
« Ответ #1 : 09 Марта 2013, 16:06:21 »
неужели ни у кого нет желания подсказать?
ведь прошу я немного помочь :(
Benefacta male locata malefacta arbitror- Благодеяния, оказанные недостойному, считаю злодеяниями
 

Оффлайн qupl

Re: Логирование порта
« Ответ #2 : 09 Марта 2013, 16:20:20 »
Первое что приходит в голову
man netstat
Остальное лучше спросить у бывалых админов.

Оффлайн PbI6A

Re: Логирование порта
« Ответ #3 : 09 Марта 2013, 17:38:28 »
Wireshark что-то такое делает, не?
LINUX means: Linux Is Not a UniX
 

Оффлайн rayanAyar

Re: Логирование порта
« Ответ #4 : 09 Марта 2013, 20:21:56 »
iptables + ulogd
 

Оффлайн ihammers

Re: Логирование порта
« Ответ #5 : 09 Марта 2013, 20:44:17 »
Подскажите пожалуйста как  сделать логирование всех подсоединений на определенный порт
Мне нужен лог коннектов на порт 35444. Как я могу получить такой лог?
заранее спасибо
Я бы предложил например сделать это через iptables:
Цитировать
Log traffic, before taking action

If you want to log the traffic before blocking it, for example, there is a rule in an office, where all employees have been said not to log into a given server, and you want to be sure everybody obeys the rule by blocking access to ssh port. But, at the same time you want to find the one who tried it.

iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "dropped access to port 22"
iptables -A INPUT -p tcp --dport 22 -j DROP

You will be able to see which IP tried to access the server, but of course he couldn’t.
В примере с начало записывают что кто-то попытался обратиться на 22 порт, а потом происходит дроп этого соединения.  В вашем случае будет другой порт и accept.
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64,
LXQt/KDE/OpenBox AMD Phenon X4 / 16Gb RAM / ATI HD7750 Silent
_______________________________
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64, LXQt/KDE/OpenBox
Acer Aspire One 722 AMD C60 / 4Gb RAM / ATI HD6290
 

Оффлайн ivo

  • Пользователь
  • *
  • Сообщений: 13
Re: Логирование порта
« Ответ #6 : 10 Марта 2013, 06:00:32 »
и где этот  лог будет?
в  директории var/log ? или где в другом месте?
Benefacta male locata malefacta arbitror- Благодеяния, оказанные недостойному, считаю злодеяниями
 

Оффлайн ivo

  • Пользователь
  • *
  • Сообщений: 13
Re: Логирование порта
« Ответ #7 : 11 Марта 2013, 11:40:02 »
может все же кто подскажет текст строки в /etc/rsyslog.conf , чтобы писался лог входящего трафика на порт 35444?

очень прошу : помогите пожалуйста
« Последнее редактирование: 11 Марта 2013, 14:32:07 от ivo »
Benefacta male locata malefacta arbitror- Благодеяния, оказанные недостойному, считаю злодеяниями
 

Оффлайн fry

Re: Логирование порта
« Ответ #8 : 11 Марта 2013, 14:09:13 »
Подскажите пожалуйста как  сделать логирование всех подсоединений на определенный порт
Мне нужен лог коннектов на порт 35444. Как я могу получить такой лог?
заранее спасибо
Я бы предложил например сделать это через iptables:
Цитировать
Log traffic, before taking action

If you want to log the traffic before blocking it, for example, there is a rule in an office, where all employees have been said not to log into a given server, and you want to be sure everybody obeys the rule by blocking access to ssh port. But, at the same time you want to find the one who tried it.

iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "dropped access to port 22"
iptables -A INPUT -p tcp --dport 22 -j DROP

You will be able to see which IP tried to access the server, but of course he couldn’t.
В примере с начало записывают что кто-то попытался обратиться на 22 порт, а потом происходит дроп этого соединения.  В вашем случае будет другой порт и accept.
Склоняюсь к этому же варианту. Именно для этого действие LOG создано http://www.opennet.ru/docs/RUS/iptables/#LOGTARGET.
Цитировать
может все же кто подскажет текст строки в /etc/rsyslog.conf , чтобы писался лог входящего трафика на порт 35444?
очень прошу : помогите пожалуйста
текст строки? какой строки? вы сначала найдите приложение, которое будет слать демону информацию о подключении на порт, раз не хотите сделать все уже доступными средствами. а уже потом можно будет вписывать строку, описывающую в какой файл мы будем складывать эту информацию.
Товарищи призывники! Надо понимать всю глубину наших глубин!

Руководство по добавлению изображений на форум
 

Оффлайн ivo

  • Пользователь
  • *
  • Сообщений: 13
Re: Логирование порта
« Ответ #9 : 11 Марта 2013, 14:32:20 »
может быть вписать
iptables -A INPUT -p tcp --dport 35444 -j LOG --log-prefix

и добавить в /etc/rsyslog.conf условие вывода в лог файл, например файл /var/log/port35444.log всех внешних обращений на порт 35444(это был бы идеальный вариант)
вот и не умею и не могу сделать именно это
« Последнее редактирование: 11 Марта 2013, 14:35:22 от ivo »
Benefacta male locata malefacta arbitror- Благодеяния, оказанные недостойному, считаю злодеяниями
 

Оффлайн fry

Re: Логирование порта
« Ответ #10 : 12 Марта 2013, 11:12:15 »
может быть вписать
iptables -A INPUT -p tcp --dport 35444 -j LOG --log-prefix

и добавить в /etc/rsyslog.conf условие вывода в лог файл, например файл /var/log/port35444.log всех внешних обращений на порт 35444(это был бы идеальный вариант)
вот и не умею и не могу сделать именно это
Не умею, не могу. А искать пробовали? Или сделать. Вот смотрите-ка, что я нашел.
Spoiler: ShowHide
Стандартный пакетный фильтр iptables иногда может быть очень полезен для анализа какого-то конкретного типа трафика. iptables позволяет записывать в системный журнал активность по выбранным критериям. Например, с помощью iptables можно легко отследить, какой компьютер посылает данные во внешнюю сеть по 25 порту (SMTP), таким образом вычислив заражённый компьютер в локальной сети.

Для записи данных в файл журнала предназначено действие LOG (и более мощное ULOG). Подробный его синтаксис и возможные параметры можно посмотреть в документации по iptables.

Важным аспектом является то, что iptables сам не ведёт файлы журналов. Вместо этого действие LOG отправляет информацию системному демону журналирования, и уже он записывает её в журнал, коим чаще всего является /var/log/syslog. В итоге получается каша, в которой очень непросто разобраться. Поскольку iptables сам не занимается ведением журнала, то перенаправить запись в отдельный файл средствами самого iptables невозможно.

К счастью, в Ubuntu существует простой способ рассортировать данные по нужным журналам средствами используемой системы журналирования rsyslog. Достаточно при записи в журнал добавлять некий уникальный префикс. Например, вот так: iptables -t filter -A FORWARD -s 192.168.0.0/16 -m tcp -p tcp --dport 25 -j LOG --log-prefix "iptables: "Теперь все записи в журнале, соответствующие этому критерию, будут начинаться с «iptables: ». Осталось добавить правило сортировки в систему журналирования. Для этого можно создать файл /etc/rsyslog.d/10-iptables.conf со следующим содержанием::msg, contains, "iptables: "    -/var/log/iptables.log
& ~
Вторая строчка означает, что дальнейшую работу с этой записью производить не надо, т.е. она не должна попадать в другие журналы.
После создания нового файла конфигурации не забудьте переконфигурировать rsyslog:/etc/init.d/rsyslog reloadТеперь вся активность, соответствующая добавленному правилу iptables, будет записываться в файл /var/log/iptables.log. Если вы хотите надолго оставить журналирование, то не забудьте добавить этот файл в систему ротации логов logrotate, а то в какой-то момент у вас может закончиться место на диске.

Взято тут http://help.ubuntu.ru/wiki/%D0%BC%D0%BE%D0%BD%D0%B8%D1%82%D0%BE%D1%80%D0%B8%D0%BD%D0%B3_%D1%82%D1%80%D0%B0%D1%84%D0%B8%D0%BA%D0%B0#%D0%B6%D1%83%D1%80%D0%BD%D0%B0%D0%BB%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5_%D0%B0%D0%BA%D1%82%D0%B8%D0%B2%D0%BD%D0%BE%D1%81%D1%82%D0%B8_%D1%81%D1%80%D0%B5%D0%B4%D1%81%D1%82%D0%B2%D0%B0%D0%BC%D0%B8_iptables
Товарищи призывники! Надо понимать всю глубину наших глубин!

Руководство по добавлению изображений на форум
 

Оффлайн ihammers

Re: Логирование порта
« Ответ #11 : 12 Марта 2013, 18:32:13 »
и где этот  лог будет?
в  директории var/log ? или где в другом месте?
Как уже было описано выше, то лог будет валиться в /var/log/, может валиться в syslog если у вас так настроено, а может в отдельный файл, выше указано как это сделать.

Строчку выше, которую вы предлагали нужно запихать в:
/etc/iptables.up.rules,
но в правильной форме и в правильном разделе.

PS: и не забудьте восстанавливать iptables после перезагрузки.
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64,
LXQt/KDE/OpenBox AMD Phenon X4 / 16Gb RAM / ATI HD7750 Silent
_______________________________
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64, LXQt/KDE/OpenBox
Acer Aspire One 722 AMD C60 / 4Gb RAM / ATI HD6290
 

Оффлайн ivo

  • Пользователь
  • *
  • Сообщений: 13
Re: Логирование порта
« Ответ #12 : 12 Марта 2013, 23:55:00 »
после ввода:
iptables -A INPUT -p tcp --dport 35444 -j LOG --log-prefix "dropped access to port 29000"

Spoiler: ShowHide
root@test:~# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:35444 LOG flags 0 level 4 prefix `dropped access to port 35444'

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
root@test:~#

отменила, ввела: 
iptables -t filter -D INPUT -p tcp --dport 35444 -j LOG --log-prefix "iptables: "
Spoiler: ShowHide

root@test:~# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:35444 LOG flags 0 level 4 prefix `iptables: '

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


в логе:
Tue Mar 12 20:25:59 2013 <5> ulogd.c:594 sigterm received, exiting

все больше ничего нет
Benefacta male locata malefacta arbitror- Благодеяния, оказанные недостойному, считаю злодеяниями
 

Оффлайн fry

Re: Логирование порта
« Ответ #13 : 12 Марта 2013, 23:59:12 »
Посмотрите /var/log/messages.
Товарищи призывники! Надо понимать всю глубину наших глубин!

Руководство по добавлению изображений на форум
 

Оффлайн ivo

  • Пользователь
  • *
  • Сообщений: 13
Re: Логирование порта
« Ответ #14 : 13 Марта 2013, 20:28:29 »

Посмотрите /var/log/messages.
вы правы
в логе:
Spoiler: ShowHide
Файл: messages          Строка 10231892 Поз839846952 байт                                                                                                   99%
Mar 13 14:12:57 test kernel: [1197641.646923] dropped access to port 35444IN=eth1 OUT= MAC=00:25:86:e3:8d:fd:00:1e:49:1f:89:42:08:00 SRC=95.65.37.216 DST=79.28
.16.168 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=14656 DF PROTO=TCP SPT=58731 DPT=35444 WINDOW=16310 RES=0x00 ACK URGP=0
Mar 13 14:13:05 test kernel: [1197649.741765] dropped access to port 35444IN=eth1 OUT= MAC=00:25:86:e3:8d:fd:00:1e:49:1f:89:42:08:00 SRC=95.65.37.216 DST=79.28
.16.168 LEN=65 TOS=0x00 PREC=0x00 TTL=127 ID=14868 DF PROTO=TCP SPT=58731 DPT=35444 WINDOW=16310 RES=0x00 ACK PSH URGP=0
Mar 13 14:13:05 test kernel: [1197650.041578] dropped access to port 35444IN=eth1 OUT= MAC=00:25:86:e3:8d:fd:00:1e:49:1f:79:42:08:00 SRC=95.65.37.216 DST=79.28
.16.168 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=14869 DF PROTO=TCP SPT=58731 DPT=35444 WINDOW=16309 RES=0x00 ACK URGP=0
Mar 13 14:13:12 test kernel: [1197656.837274] dropped access to port 35444IN=eth1 OUT= MAC=00:25:86:e3:8d:fd:00:1e:49:1f:79:42:08:00 SRC=95.65.37.216 DST=79.28
.16.168 LEN=43 TOS=0x00 PREC=0x00 TTL=127 ID=15030 DF PROTO=TCP SPT=58731 DPT=35444 WINDOW=16309 RES=0x00 ACK PSH URGP=0
Mar 13 14:13:12 test kernel: [1197657.137082] dropped access to port 35444IN=eth1 OUT= MAC=00:25:86:e3:8d:fd:00:1e:49:1f:79:42:08:00 SRC=95.65.37.216 DST=79.28
.16.168 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=15031 DF PROTO=TCP SPT=58731 DPT=35444 WINDOW=16309 RES=0x00 ACK URGP=0
Mar 13 14:13:27 test kernel: [1197671.927713] dropped access to port 35444IN=eth1 OUT= MAC=00:25:86:e3:8d:fd:00:1e:49:1f:79:42:08:00 SRC=95.65.37.216 DST=79.28
.16.168 LEN=43 TOS=0x00 PREC=0x00 TTL=127 ID=15198 DF PROTO=TCP SPT=58731 DPT=35444 WINDOW=16309 RES=0x00 ACK PSH URGP=0


вот тут я пасс - понятия не имею как вывести в отдельный лог

в настройке надо добавить что-то, а вот что?
Benefacta male locata malefacta arbitror- Благодеяния, оказанные недостойному, считаю злодеяниями
 

Теги: