Portál AbcLinuxu, 6. června 2024 20:01


Dotaz: Logovani síťového provozu na portu 25 a 443 (odchozí)?

22.10.2014 16:03 Petr
Logovani síťového provozu na portu 25 a 443 (odchozí)?
Přečteno: 359×
Odpovědět | Admin
Ahoj,

může mi někdo, prosím, poradit, jakým způsobem je možné na Debianu logovat odchozí síťový provoz na portu 25 a 443 s informaci o uživateli, který jej spouští?

Dekuji

Petr

Řešení dotazu:

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

22.10.2014 16:16 NN
Rozbalit Rozbalit vše Re: Logovani síťového provozu na portu 25 a 443 (odchozí)?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Tak pokud by ti stacila zdrojova IP adresa, tak v celku snadno rovnou v iptables.
22.10.2014 17:55 divbyzero | skóre: 6
Rozbalit Rozbalit vše Re: Logovani síťového provozu na portu 25 a 443 (odchozí)?
Odpovědět | | Sbalit | Link | Blokovat | Admin
pomoci iptables 
iptables -A OUTPUT -p tcp --dport 25 -j LOG --log-prefix "IPTABLES:OUT 25 "
iptables -A OUTPUT -p tcp --dport 443 -j LOG --log-prefix "IPTABLES:OUT 443 "
do log-prefix si muzes napsat co potrebujes
Řešení 1× (divbyzero)
22.10.2014 18:02 divbyzero | skóre: 6
Rozbalit Rozbalit vše Re: Logovani síťového provozu na portu 25 a 443 (odchozí)?
pardon, zapomnel jsem na uzivatele, takhle to je snad komplet, navic i zkracene 
-A OUTPUT -p tcp -m multiport --dports 25,443 -m state --state NEW -j LOG --log-uid --log-prefix "IPTABLES:OUT "
22.10.2014 21:19 Petr
Rozbalit Rozbalit vše Re: Logovani síťového provozu na portu 25 a 443 (odchozí)?
Díky... kde se bude log ukládat?
22.10.2014 21:23 Petr
Rozbalit Rozbalit vše Re: Logovani síťového provozu na portu 25 a 443 (odchozí)?
Zadal jsem výše uvedený příkaz a dostal jsem: 
iptables -A OUTPUT -p tcp -m multiport --dports 25,443 -m state --state NEW -j LOG --log-uid --log-prefix "IPTABLES:SMTP "
iptables: No chain/target/match by that name.
Jak to můžu vyřešit? Díky
22.10.2014 21:47 divbyzero | skóre: 6
Rozbalit Rozbalit vše Re: Logovani síťového provozu na portu 25 a 443 (odchozí)?
1) debian neznam, na rhelu se to lije do /var/log/messages

2) pouzivas iptables? posli vystup z prikazu iptables -vnL
22.10.2014 21:48 Petr
Rozbalit Rozbalit vše Re: Logovani síťového provozu na portu 25 a 443 (odchozí)?
Používám iptables 
iptables -vnL
Chain INPUT (policy ACCEPT 520K packets, 100M bytes)
 pkts bytes target     prot opt in     out     source               destination
4498K  444M fail2ban-ssh  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 22
1693K  106M fail2ban-pureftpd  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 21
 117M   24G fail2ban-dovecot-pop3imap  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport dports 110,995,143,993

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 537K packets, 210M bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain fail2ban-dovecot-pop3imap (1 references)
 pkts bytes target     prot opt in     out     source               destination
 117M   24G RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain fail2ban-pureftpd (1 references)
 pkts bytes target     prot opt in     out     source               destination
1636K  103M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain fail2ban-ssh (1 references)
 pkts bytes target     prot opt in     out     source               destination
4483K  442M RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0
22.10.2014 21:51 Petr
Rozbalit Rozbalit vše Re: Logovani síťového provozu na portu 25 a 443 (odchozí)?
Není to tím, že "target" OUTPUT tam nemám? 
cat /proc/net/ip_tables_targets
TCPMSS
REJECT
ERROR
22.10.2014 21:55 divbyzero | skóre: 6
Rozbalit Rozbalit vše Re: Logovani síťového provozu na portu 25 a 443 (odchozí)?
OUTPUT je chain, ten dle vypisu mas, spis to vypada, ze nemas LOG modul
22.10.2014 21:59 divbyzero | skóre: 6
Rozbalit Rozbalit vše Re: Logovani síťového provozu na portu 25 a 443 (odchozí)?
pripadne zkus vylucovaci metodou, co mu vadi

zaklad je todle a pak bych zkusil nabalovat dalsi parametry

iptables -A OUTPUT -j LOG
22.10.2014 22:03 Petr
Rozbalit Rozbalit vše Re: Logovani síťového provozu na portu 25 a 443 (odchozí)?
Přesně to nejde. 
iptables -A OUTPUT -j LOG
iptables: No chain/target/match by that name.
Jendа avatar 22.10.2014 18:06 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Logovani síťového provozu na portu 25 a 443 (odchozí)?
Ale jak se takhle udělá, aby se ten provoz nahrál? Když tam pustím tcpdump, nahraje všechno a nevím, který paket/které spojení komu patřilo. Umí tcpdump nahrávat flagy, když bych ten paket flagnul?

Napadá mě hnusné řešení pakety přeposílat pro různé uživatele na různé porty a pak v tcpdumpu filtrovat podle portu.
Já to s tou denacifikací Slovenska myslel vážně.
22.10.2014 18:47 David
Rozbalit Rozbalit vše Re: Logovani síťového provozu na portu 25 a 443 (odchozí)?
Search keyword: ULOG or NFQUEUE

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.