Логирование порта

[ivo]

Подскажите пожалуйста как  сделать логирование всех подсоединений на определенный порт
Мне нужен лог коннектов на порт 35444. Как я могу получить такой лог?
заранее спасибо

[ivo]

неужели ни у кого нет желания подсказать?
ведь прошу я немного помочь

[qupl]

Первое что приходит в голову

Код Выделить Развернуть

man netstat

Остальное лучше спросить у бывалых админов.

[PbI6A]

Wireshark что-то такое делает, не?

[rayanAyar]

iptables + ulogd

[ihammers]

Подскажите пожалуйста как  сделать логирование всех подсоединений на определенный порт
Мне нужен лог коннектов на порт 35444. Как я могу получить такой лог?
заранее спасибо

Я бы предложил например сделать это через iptables:

Log traffic, before taking action

If you want to log the traffic before blocking it, for example, there is a rule in an office, where all employees have been said not to log into a given server, and you want to be sure everybody obeys the rule by blocking access to ssh port. But, at the same time you want to find the one who tried it.

iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "dropped access to port 22"
iptables -A INPUT -p tcp --dport 22 -j DROP

You will be able to see which IP tried to access the server, but of course he couldn't.

В примере с начало записывают что кто-то попытался обратиться на 22 порт, а потом происходит дроп этого соединения.  В вашем случае будет другой порт и accept.

[ivo]

и где этот  лог будет?
в  директории var/log ? или где в другом месте?

[ivo]

может все же кто подскажет текст строки в /etc/rsyslog.conf , чтобы писался лог входящего трафика на порт 35444?

очень прошу : помогите пожалуйста

[fry]

Подскажите пожалуйста как  сделать логирование всех подсоединений на определенный порт
Мне нужен лог коннектов на порт 35444. Как я могу получить такой лог?
заранее спасибо

Я бы предложил например сделать это через iptables:

Log traffic, before taking action

If you want to log the traffic before blocking it, for example, there is a rule in an office, where all employees have been said not to log into a given server, and you want to be sure everybody obeys the rule by blocking access to ssh port. But, at the same time you want to find the one who tried it.

iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "dropped access to port 22"
iptables -A INPUT -p tcp --dport 22 -j DROP

You will be able to see which IP tried to access the server, but of course he couldn't.

В примере с начало записывают что кто-то попытался обратиться на 22 порт, а потом происходит дроп этого соединения.  В вашем случае будет другой порт и accept.

Склоняюсь к этому же варианту. Именно для этого действие LOG создано http://www.opennet.ru/docs/RUS/iptables/#LOGTARGET.

может все же кто подскажет текст строки в /etc/rsyslog.conf , чтобы писался лог входящего трафика на порт 35444?
очень прошу : помогите пожалуйста

текст строки? какой строки? вы сначала найдите приложение, которое будет слать демону информацию о подключении на порт, раз не хотите сделать все уже доступными средствами. а уже потом можно будет вписывать строку, описывающую в какой файл мы будем складывать эту информацию.

[ivo]

может быть вписать
iptables -A INPUT -p tcp --dport 35444 -j LOG --log-prefix

и добавить в /etc/rsyslog.conf условие вывода в лог файл, например файл /var/log/port35444.log всех внешних обращений на порт 35444(это был бы идеальный вариант)
вот и не умею и не могу сделать именно это

[fry]

может быть вписать
iptables -A INPUT -p tcp --dport 35444 -j LOG --log-prefix

и добавить в /etc/rsyslog.conf условие вывода в лог файл, например файл /var/log/port35444.log всех внешних обращений на порт 35444(это был бы идеальный вариант)
вот и не умею и не могу сделать именно это

Не умею, не могу. А искать пробовали? Или сделать. Вот смотрите-ка, что я нашел.

Открыть содержимое (спойлер)

Стандартный пакетный фильтр iptables иногда может быть очень полезен для анализа какого-то конкретного типа трафика. iptables позволяет записывать в системный журнал активность по выбранным критериям. Например, с помощью iptables можно легко отследить, какой компьютер посылает данные во внешнюю сеть по 25 порту (SMTP), таким образом вычислив заражённый компьютер в локальной сети.

Для записи данных в файл журнала предназначено действие LOG (и более мощное ULOG). Подробный его синтаксис и возможные параметры можно посмотреть в документации по iptables.

Важным аспектом является то, что iptables сам не ведёт файлы журналов. Вместо этого действие LOG отправляет информацию системному демону журналирования, и уже он записывает её в журнал, коим чаще всего является /var/log/syslog. В итоге получается каша, в которой очень непросто разобраться. Поскольку iptables сам не занимается ведением журнала, то перенаправить запись в отдельный файл средствами самого iptables невозможно.

К счастью, в Ubuntu существует простой способ рассортировать данные по нужным журналам средствами используемой системы журналирования rsyslog. Достаточно при записи в журнал добавлять некий уникальный префикс. Например, вот так:

Код Выделить Развернуть

iptables -t filter -A FORWARD -s 192.168.0.0/16 -m tcp -p tcp --dport 25 -j LOG --log-prefix "iptables: "
Теперь все записи в журнале, соответствующие этому критерию, будут начинаться с «iptables: ». Осталось добавить правило сортировки в систему журналирования. Для этого можно создать файл /etc/rsyslog.d/10-iptables.conf со следующим содержанием:

Код Выделить Развернуть

:msg, contains, "iptables: "    -/var/log/iptables.log
& ~
Вторая строчка означает, что дальнейшую работу с этой записью производить не надо, т.е. она не должна попадать в другие журналы.
После создания нового файла конфигурации не забудьте переконфигурировать rsyslog:

Код Выделить Развернуть

/etc/init.d/rsyslog reload
Теперь вся активность, соответствующая добавленному правилу iptables, будет записываться в файл /var/log/iptables.log. Если вы хотите надолго оставить журналирование, то не забудьте добавить этот файл в систему ротации логов logrotate, а то в какой-то момент у вас может закончиться место на диске.

[свернуть]

Взято тут http://help.ubuntu.ru/wiki/%D0%BC%D0%BE%D0%BD%D0%B8%D1%82%D0%BE%D1%80%D0%B8%D0%BD%D0%B3_%D1%82%D1%80%D0%B0%D1%84%D0%B8%D0%BA%D0%B0#%D0%B6%D1%83%D1%80%D0%BD%D0%B0%D0%BB%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5_%D0%B0%D0%BA%D1%82%D0%B8%D0%B2%D0%BD%D0%BE%D1%81%D1%82%D0%B8_%D1%81%D1%80%D0%B5%D0%B4%D1%81%D1%82%D0%B2%D0%B0%D0%BC%D0%B8_iptables

[ihammers]

и где этот  лог будет?
в  директории var/log ? или где в другом месте?

Как уже было описано выше, то лог будет валиться в /var/log/, может валиться в syslog если у вас так настроено, а может в отдельный файл, выше указано как это сделать.

Строчку выше, которую вы предлагали нужно запихать в:

Код Выделить Развернуть

/etc/iptables.up.rules,
но в правильной форме и в правильном разделе.

PS: и не забудьте восстанавливать iptables после перезагрузки.

[ivo]

после ввода:
iptables -A INPUT -p tcp --dport 35444 -j LOG --log-prefix "dropped access to port 29000"

Открыть содержимое (спойлер)

root@test:~# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:35444 LOG flags 0 level 4 prefix `dropped access to port 35444'

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
root@test:~#

[свернуть]

отменила, ввела: 
iptables -t filter -D INPUT -p tcp --dport 35444 -j LOG --log-prefix "iptables: "

Открыть содержимое (спойлер)

root@test:~# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:35444 LOG flags 0 level 4 prefix `iptables: '

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[свернуть]

в логе:
Tue Mar 12 20:25:59 2013 <5> ulogd.c:594 sigterm received, exiting

все больше ничего нет

[fry]

Посмотрите /var/log/messages.

[ivo]

Посмотрите /var/log/messages.

вы правы
в логе:

Открыть содержимое (спойлер)

Файл: messages          Строка 10231892 Поз839846952 байт                                                                                                   99%
Mar 13 14:12:57 test kernel: [1197641.646923] dropped access to port 35444IN=eth1 OUT= MAC=00:25:86:e3:8d:fd:00:1e:49:1f:89:42:08:00 SRC=95.65.37.216 DST=79.28
.16.168 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=14656 DF PROTO=TCP SPT=58731 DPT=35444 WINDOW=16310 RES=0x00 ACK URGP=0
Mar 13 14:13:05 test kernel: [1197649.741765] dropped access to port 35444IN=eth1 OUT= MAC=00:25:86:e3:8d:fd:00:1e:49:1f:89:42:08:00 SRC=95.65.37.216 DST=79.28
.16.168 LEN=65 TOS=0x00 PREC=0x00 TTL=127 ID=14868 DF PROTO=TCP SPT=58731 DPT=35444 WINDOW=16310 RES=0x00 ACK PSH URGP=0
Mar 13 14:13:05 test kernel: [1197650.041578] dropped access to port 35444IN=eth1 OUT= MAC=00:25:86:e3:8d:fd:00:1e:49:1f:79:42:08:00 SRC=95.65.37.216 DST=79.28
.16.168 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=14869 DF PROTO=TCP SPT=58731 DPT=35444 WINDOW=16309 RES=0x00 ACK URGP=0
Mar 13 14:13:12 test kernel: [1197656.837274] dropped access to port 35444IN=eth1 OUT= MAC=00:25:86:e3:8d:fd:00:1e:49:1f:79:42:08:00 SRC=95.65.37.216 DST=79.28
.16.168 LEN=43 TOS=0x00 PREC=0x00 TTL=127 ID=15030 DF PROTO=TCP SPT=58731 DPT=35444 WINDOW=16309 RES=0x00 ACK PSH URGP=0
Mar 13 14:13:12 test kernel: [1197657.137082] dropped access to port 35444IN=eth1 OUT= MAC=00:25:86:e3:8d:fd:00:1e:49:1f:79:42:08:00 SRC=95.65.37.216 DST=79.28
.16.168 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=15031 DF PROTO=TCP SPT=58731 DPT=35444 WINDOW=16309 RES=0x00 ACK URGP=0
Mar 13 14:13:27 test kernel: [1197671.927713] dropped access to port 35444IN=eth1 OUT= MAC=00:25:86:e3:8d:fd:00:1e:49:1f:79:42:08:00 SRC=95.65.37.216 DST=79.28
.16.168 LEN=43 TOS=0x00 PREC=0x00 TTL=127 ID=15198 DF PROTO=TCP SPT=58731 DPT=35444 WINDOW=16309 RES=0x00 ACK PSH URGP=0

[свернуть]

вот тут я пасс - понятия не имею как вывести в отдельный лог

в настройке надо добавить что-то, а вот что?