iptables: 把所有想與我連線的封包都記錄下來

這個版面主要討論 debian 在 server 端的應用問題, server 種類繁多..舉凡 Web Server 、 File Server、 DHCP Server..等等。

版主: 阿信

iptables: 把所有想與我連線的封包都記錄下來

文章guest » 週三 6月 18, 2008 1:38 am

各位好 我目前有一個需求 就是如標題所述 我想在iptables中 把所有想跟我連線的IP都記錄下來 但是我遇到一個問題 如果說目標PORT是開著的 (已被某服務用來作listen的) 那一般的--state NEW的規則就可以抓到此封包 但如果說目標PORT沒有任何程式使用 那即使是iptables -A INPUT -j LOG這樣的完全記錄的規則 也沒有辦法把這個被拒絕的封包抓下來

目前我的理解是 是否連system socket buffer都進不去的封包(因為socket table中沒有任何程式想要它) 就會直接被丟掉 連iptables的chain都進不去 如果我的想法沒錯 所以iptables就沒辦法處理這種沒人要的封包了??

不過上面是找了一些片面文件又在不夠詳讀的情況下胡亂作的猜測 如果有錯希望版上朋友指點 先感謝
guest
 

文章企鵝狂 » 週三 6月 18, 2008 12:42 pm

iptables不管有沒有程式在使用都會LOG
有可能是你LOG前面的規則已經先有DROP或者其他把整個chain終止了。

像是DROP,REJECT,ACCEPT這些執行過後就不會執行接下來的rules.
但是LOG就會。
http://news.bbc.co.uk/1/hi/world/asia-pacific/country_profiles/1285915.stm


Country profile: Taiwan
Map of Taiwan
Taiwan is the island which has for all practical purposes been independent for half a century, but which China regards as a rebel region that must be reunited with the mainland - by force if necessary.
企鵝狂
活潑的高中生
活潑的高中生
 
文章: 477
註冊時間: 週三 3月 31, 2004 11:13 am
來自: 台灣共和國

文章guest » 週五 6月 20, 2008 11:52 pm

你好 我在測試的時候是先把iptables清空 再加入LOG相關的指令 所以以上的測試其實是在iptables中只有一條LOG rule的環境下執行 所以應該沒有被其它指令先行處理的問題
不過還是謝謝你的回應 :-)
guest
 

文章企鵝狂 » 週六 6月 21, 2008 12:16 am

這是我的指令
代碼: 選擇全部
 iptables -I INPUT 1 -p tcp -m multiport --ports 1 -j LOG


這是dmesg結果
代碼: 選擇全部
IN=eth1 OUT= MAC=00:a0:b0:14:b6:ab:00:1d:46:bf:05:c3:08:00 SRC=140.123.xxx.x DST=140.123.yyy.y LEN=60 TOS=0x10 PREC=0x00 TTL=63 ID=19783 DF PROTO=TCP SPT=47524 DPT=1 WINDOW=5840 RES=0x00 SYN URGP=0


有紀錄在syslog跟kern.log

代碼: 選擇全部
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           multiport ports 1 LOG flags 0 level 4


這是紀錄下的規則,他會讓klogd來紀錄
是不是klogd沒有打開?

代碼: 選擇全部
/etc/init.d/klogd start
http://news.bbc.co.uk/1/hi/world/asia-pacific/country_profiles/1285915.stm


Country profile: Taiwan
Map of Taiwan
Taiwan is the island which has for all practical purposes been independent for half a century, but which China regards as a rebel region that must be reunited with the mainland - by force if necessary.
企鵝狂
活潑的高中生
活潑的高中生
 
文章: 477
註冊時間: 週三 3月 31, 2004 11:13 am
來自: 台灣共和國

文章guest » 週六 6月 21, 2008 12:40 am

感謝你 真的有抓到了 應該是我沒有把iptables的參數研究清楚 真不好意思
再次感謝 :)
guest
 


回到 debian server

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 1 位訪客