Логирование порта

Автор ivo, 08 марта 2013, 08:24:14

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

ivo

Подскажите пожалуйста как  сделать логирование всех подсоединений на определенный порт
Мне нужен лог коннектов на порт 35444. Как я могу получить такой лог?
заранее спасибо
Benefacta male locata malefacta arbitror- Благодеяния, оказанные недостойному, считаю злодеяниями
  •  

ivo

неужели ни у кого нет желания подсказать?
ведь прошу я немного помочь :(
Benefacta male locata malefacta arbitror- Благодеяния, оказанные недостойному, считаю злодеяниями
  •  

qupl

Первое что приходит в голову
man netstat

Остальное лучше спросить у бывалых админов.

PbI6A

Wireshark что-то такое делает, не?
LINUX means: Linux Is Not a UniX
Вернулся на Devuan. Счастлив!
  •  

rayanAyar

  •  

ihammers

Цитата: ivo от 08 марта 2013, 08:24:14
Подскажите пожалуйста как  сделать логирование всех подсоединений на определенный порт
Мне нужен лог коннектов на порт 35444. Как я могу получить такой лог?
заранее спасибо
Я бы предложил например сделать это через iptables:
ЦитироватьLog traffic, before taking action

If you want to log the traffic before blocking it, for example, there is a rule in an office, where all employees have been said not to log into a given server, and you want to be sure everybody obeys the rule by blocking access to ssh port. But, at the same time you want to find the one who tried it.

iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "dropped access to port 22"
iptables -A INPUT -p tcp --dport 22 -j DROP

You will be able to see which IP tried to access the server, but of course he couldn't.
В примере с начало записывают что кто-то попытался обратиться на 22 порт, а потом происходит дроп этого соединения.  В вашем случае будет другой порт и accept.
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64,
LXQt/KDE/OpenBox AMD Phenon X4 / 16Gb RAM / ATI HD7750 Silent
_______________________________
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64, LXQt/KDE/OpenBox
Acer Aspire One 722 AMD C60 / 4Gb RAM / ATI HD6290
  •  

ivo

и где этот  лог будет?
в  директории var/log ? или где в другом месте?
Benefacta male locata malefacta arbitror- Благодеяния, оказанные недостойному, считаю злодеяниями
  •  

ivo

#7
может все же кто подскажет текст строки в /etc/rsyslog.conf , чтобы писался лог входящего трафика на порт 35444?

очень прошу : помогите пожалуйста
Benefacta male locata malefacta arbitror- Благодеяния, оказанные недостойному, считаю злодеяниями
  •  

fry

Цитата: ihammers от 09 марта 2013, 20:44:17
Цитата: ivo от 08 марта 2013, 08:24:14
Подскажите пожалуйста как  сделать логирование всех подсоединений на определенный порт
Мне нужен лог коннектов на порт 35444. Как я могу получить такой лог?
заранее спасибо
Я бы предложил например сделать это через iptables:
ЦитироватьLog traffic, before taking action

If you want to log the traffic before blocking it, for example, there is a rule in an office, where all employees have been said not to log into a given server, and you want to be sure everybody obeys the rule by blocking access to ssh port. But, at the same time you want to find the one who tried it.

iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "dropped access to port 22"
iptables -A INPUT -p tcp --dport 22 -j DROP

You will be able to see which IP tried to access the server, but of course he couldn't.
В примере с начало записывают что кто-то попытался обратиться на 22 порт, а потом происходит дроп этого соединения.  В вашем случае будет другой порт и accept.
Склоняюсь к этому же варианту. Именно для этого действие LOG создано http://www.opennet.ru/docs/RUS/iptables/#LOGTARGET.
Цитироватьможет все же кто подскажет текст строки в /etc/rsyslog.conf , чтобы писался лог входящего трафика на порт 35444?
очень прошу : помогите пожалуйста
текст строки? какой строки? вы сначала найдите приложение, которое будет слать демону информацию о подключении на порт, раз не хотите сделать все уже доступными средствами. а уже потом можно будет вписывать строку, описывающую в какой файл мы будем складывать эту информацию.
Товарищи призывники! Надо понимать всю глубину наших глубин!

Руководство по добавлению изображений на форум
  •  

ivo

#9
может быть вписать
iptables -A INPUT -p tcp --dport 35444 -j LOG --log-prefix

и добавить в /etc/rsyslog.conf условие вывода в лог файл, например файл /var/log/port35444.log всех внешних обращений на порт 35444(это был бы идеальный вариант)
вот и не умею и не могу сделать именно это
Benefacta male locata malefacta arbitror- Благодеяния, оказанные недостойному, считаю злодеяниями
  •  

fry

Цитата: ivo от 11 марта 2013, 14:32:20
может быть вписать
iptables -A INPUT -p tcp --dport 35444 -j LOG --log-prefix

и добавить в /etc/rsyslog.conf условие вывода в лог файл, например файл /var/log/port35444.log всех внешних обращений на порт 35444(это был бы идеальный вариант)
вот и не умею и не могу сделать именно это
Не умею, не могу. А искать пробовали? Или сделать. Вот смотрите-ка, что я нашел.
Открыть содержимое (спойлер)
Стандартный пакетный фильтр iptables иногда может быть очень полезен для анализа какого-то конкретного типа трафика. iptables позволяет записывать в системный журнал активность по выбранным критериям. Например, с помощью iptables можно легко отследить, какой компьютер посылает данные во внешнюю сеть по 25 порту (SMTP), таким образом вычислив заражённый компьютер в локальной сети.

Для записи данных в файл журнала предназначено действие LOG (и более мощное ULOG). Подробный его синтаксис и возможные параметры можно посмотреть в документации по iptables.

Важным аспектом является то, что iptables сам не ведёт файлы журналов. Вместо этого действие LOG отправляет информацию системному демону журналирования, и уже он записывает её в журнал, коим чаще всего является /var/log/syslog. В итоге получается каша, в которой очень непросто разобраться. Поскольку iptables сам не занимается ведением журнала, то перенаправить запись в отдельный файл средствами самого iptables невозможно.

К счастью, в Ubuntu существует простой способ рассортировать данные по нужным журналам средствами используемой системы журналирования rsyslog. Достаточно при записи в журнал добавлять некий уникальный префикс. Например, вот так: iptables -t filter -A FORWARD -s 192.168.0.0/16 -m tcp -p tcp --dport 25 -j LOG --log-prefix "iptables: "
Теперь все записи в журнале, соответствующие этому критерию, будут начинаться с «iptables: ». Осталось добавить правило сортировки в систему журналирования. Для этого можно создать файл /etc/rsyslog.d/10-iptables.conf со следующим содержанием::msg, contains, "iptables: "    -/var/log/iptables.log
& ~

Вторая строчка означает, что дальнейшую работу с этой записью производить не надо, т.е. она не должна попадать в другие журналы.
После создания нового файла конфигурации не забудьте переконфигурировать rsyslog:/etc/init.d/rsyslog reload
Теперь вся активность, соответствующая добавленному правилу iptables, будет записываться в файл /var/log/iptables.log. Если вы хотите надолго оставить журналирование, то не забудьте добавить этот файл в систему ротации логов logrotate, а то в какой-то момент у вас может закончиться место на диске.
[свернуть]
Взято тут http://help.ubuntu.ru/wiki/%D0%BC%D0%BE%D0%BD%D0%B8%D1%82%D0%BE%D1%80%D0%B8%D0%BD%D0%B3_%D1%82%D1%80%D0%B0%D1%84%D0%B8%D0%BA%D0%B0#%D0%B6%D1%83%D1%80%D0%BD%D0%B0%D0%BB%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5_%D0%B0%D0%BA%D1%82%D0%B8%D0%B2%D0%BD%D0%BE%D1%81%D1%82%D0%B8_%D1%81%D1%80%D0%B5%D0%B4%D1%81%D1%82%D0%B2%D0%B0%D0%BC%D0%B8_iptables
Товарищи призывники! Надо понимать всю глубину наших глубин!

Руководство по добавлению изображений на форум
  •  

ihammers

Цитата: ivo от 10 марта 2013, 06:00:32
и где этот  лог будет?
в  директории var/log ? или где в другом месте?
Как уже было описано выше, то лог будет валиться в /var/log/, может валиться в syslog если у вас так настроено, а может в отдельный файл, выше указано как это сделать.

Строчку выше, которую вы предлагали нужно запихать в:
/etc/iptables.up.rules,
но в правильной форме и в правильном разделе.

PS: и не забудьте восстанавливать iptables после перезагрузки.
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64,
LXQt/KDE/OpenBox AMD Phenon X4 / 16Gb RAM / ATI HD7750 Silent
_______________________________
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64, LXQt/KDE/OpenBox
Acer Aspire One 722 AMD C60 / 4Gb RAM / ATI HD6290
  •  

ivo

после ввода:
iptables -A INPUT -p tcp --dport 35444 -j LOG --log-prefix "dropped access to port 29000"

Открыть содержимое (спойлер)
root@test:~# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:35444 LOG flags 0 level 4 prefix `dropped access to port 35444'

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
root@test:~#
[свернуть]
отменила, ввела: 
iptables -t filter -D INPUT -p tcp --dport 35444 -j LOG --log-prefix "iptables: "
Открыть содержимое (спойлер)

root@test:~# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:35444 LOG flags 0 level 4 prefix `iptables: '

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[свернуть]

в логе:
Tue Mar 12 20:25:59 2013 <5> ulogd.c:594 sigterm received, exiting

все больше ничего нет
Benefacta male locata malefacta arbitror- Благодеяния, оказанные недостойному, считаю злодеяниями
  •  

fry

Посмотрите /var/log/messages.
Товарищи призывники! Надо понимать всю глубину наших глубин!

Руководство по добавлению изображений на форум
  •  

ivo


Цитата: fry от 12 марта 2013, 23:59:12Посмотрите /var/log/messages.
вы правы
в логе:
Открыть содержимое (спойлер)
Файл: messages          Строка 10231892 Поз839846952 байт                                                                                                   99%
Mar 13 14:12:57 test kernel: [1197641.646923] dropped access to port 35444IN=eth1 OUT= MAC=00:25:86:e3:8d:fd:00:1e:49:1f:89:42:08:00 SRC=95.65.37.216 DST=79.28
.16.168 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=14656 DF PROTO=TCP SPT=58731 DPT=35444 WINDOW=16310 RES=0x00 ACK URGP=0
Mar 13 14:13:05 test kernel: [1197649.741765] dropped access to port 35444IN=eth1 OUT= MAC=00:25:86:e3:8d:fd:00:1e:49:1f:89:42:08:00 SRC=95.65.37.216 DST=79.28
.16.168 LEN=65 TOS=0x00 PREC=0x00 TTL=127 ID=14868 DF PROTO=TCP SPT=58731 DPT=35444 WINDOW=16310 RES=0x00 ACK PSH URGP=0
Mar 13 14:13:05 test kernel: [1197650.041578] dropped access to port 35444IN=eth1 OUT= MAC=00:25:86:e3:8d:fd:00:1e:49:1f:79:42:08:00 SRC=95.65.37.216 DST=79.28
.16.168 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=14869 DF PROTO=TCP SPT=58731 DPT=35444 WINDOW=16309 RES=0x00 ACK URGP=0
Mar 13 14:13:12 test kernel: [1197656.837274] dropped access to port 35444IN=eth1 OUT= MAC=00:25:86:e3:8d:fd:00:1e:49:1f:79:42:08:00 SRC=95.65.37.216 DST=79.28
.16.168 LEN=43 TOS=0x00 PREC=0x00 TTL=127 ID=15030 DF PROTO=TCP SPT=58731 DPT=35444 WINDOW=16309 RES=0x00 ACK PSH URGP=0
Mar 13 14:13:12 test kernel: [1197657.137082] dropped access to port 35444IN=eth1 OUT= MAC=00:25:86:e3:8d:fd:00:1e:49:1f:79:42:08:00 SRC=95.65.37.216 DST=79.28
.16.168 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=15031 DF PROTO=TCP SPT=58731 DPT=35444 WINDOW=16309 RES=0x00 ACK URGP=0
Mar 13 14:13:27 test kernel: [1197671.927713] dropped access to port 35444IN=eth1 OUT= MAC=00:25:86:e3:8d:fd:00:1e:49:1f:79:42:08:00 SRC=95.65.37.216 DST=79.28
.16.168 LEN=43 TOS=0x00 PREC=0x00 TTL=127 ID=15198 DF PROTO=TCP SPT=58731 DPT=35444 WINDOW=16309 RES=0x00 ACK PSH URGP=0
[свернуть]

вот тут я пасс - понятия не имею как вывести в отдельный лог

в настройке надо добавить что-то, а вот что?
Benefacta male locata malefacta arbitror- Благодеяния, оказанные недостойному, считаю злодеяниями
  •