Søg
Avatar billede tax Nybegynder
07. april 2003 - 23:08 Der er 11 kommentarer og
1 løsning

ipchains logging

Jeg kører et ipchains script, der sætter en redhat 8.0 box til at dele en ADSL forbindelse imellem en samling PC ere.

Jeg har brug for en form for logging, så jeg kan gå tilbage og udpege syndere på mil LAN.

Jeg skal bruge
LAN-IP eller MAC adresse, ipadresse eller hostname der er blevet kontaktet, tidspunktet mm.

Der er ~10 maskiner på og jeg vil gerne kunne gemme records ca. 1 år tilbage.

Jeg vil gerne have det hele dumpet i en stor tekstfil. Jeg har set lidt på log funktionen men mangler lidt hjælp. Mit script ser således ud nu.


#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='10.0.0.1/8'
LAN_NIC='eth0'
WAN_IP='129.142.195.140'
WAN_NIC='eth1'

# load some modules (if needed)
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80  #http
iptables -A INPUT -j ACCEPT -p tcp --dport 21  #ftp
iptables -A INPUT -j ACCEPT -p tcp --dport 22  #ssh
iptables -A INPUT -j ACCEPT -p tcp --dport 110 #pop3
iptables -A INPUT -j ACCEPT -p tcp --dport 25  #mail
iptables -A INPUT -j ACCEPT -p udp --dport 53  #NS

##dhcp server only open for LAN
iptables -A INPUT -j ACCEPT -p udp -i $LAN_NIC --dport 67

##snmp only for own host
iptables -A INPUT -j ACCEPT -p udp -s 127.0.0.1 --dport 161

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
Avatar billede langbein Nybegynder
07. april 2003 - 23:32 #1
Se her:
http://www.eksperten.dk/spm/333357
Avatar billede langbein Nybegynder
07. april 2003 - 23:33 #2
"Jeg kører et ipchains script", nei det var forrige versjon til kernel 2.2.x Denne versjon heter iptables "Du kjører iptables script" :)
Avatar billede langbein Nybegynder
07. april 2003 - 23:36 #3
Slik som ditt firewall script er satt opp så bør du kjøre loggingen som den siste setning før default policy, altså de ip pakker som ikke slippes gjennom går til logging.
Avatar billede tax Nybegynder
08. april 2003 - 07:45 #4
Det jeg skal logge er trafikken der bliver videretransmitteret. Det er for at kunne gå tilbage og finde synderen hvis der er nogen der begår ulovligheder på mit LAN.

Jeg vil gerne have det kanaliseret ned i en speciel fil også.

Er det ladesiggøreligt?
Avatar billede langbein Nybegynder
09. april 2003 - 01:21 #5
"skal logge er trafikken der bliver videretransmitteret"

Altså den trafikk som sendes inn til dine interne servere på dmz eller på lan, er det det som er meningen eller ønske om logging ? Også all "normal" inngående trafikk eller bare den som er "unormal".

Er det dette eller er det noe annet du mener med "videretransmitert trafikk" ? Praktisk eksempel ?
Avatar billede tax Nybegynder
09. april 2003 - 08:53 #6
Jeg har en flok maskiner på mit LAN, der låner min internetforbindelse via en redhatbox der deler forbindelsen.

Hvis nogen begår ulovligheder får jeg problemer, og vil derfor gerne kunne slå op i en Logfil og finde hvilket LAN-IP, der har kommunikeret med de pågældende servere. F.eks hvem på mit LAN har forsøgt et DOS eller en portscanning på cnn.com's hovedserver.

Noget i den stil.
Avatar billede langbein Nybegynder
09. april 2003 - 10:45 #7
Det vil jo være nesten det enkleste rent teknisk å sette opp en logging av all utgående trafikk, men skulle tro at det ville medføre et nokså høyt stressnivå for router/server pluss lagring av en utrolig stor mengde data.

Hva med å la "normaltrafikken" for eksempel alle requester ut på port 80, web server ftp server og en del ordnære tjenester passere ulogget og så sette logging på alle de tingene som er "uten om det vanlige" mht port/protokollbruk ?

Hvis man setter logging på den ordinære internettsurfingen så vil jeg vel tro at en ordinær brukersesion vil fort vil produsere tusenvis av entries. Når man får så mange entries så er det vel heller ikke så mye man i praksis kan bruke dem til fordi de "interessante data" forvinner blandt de uinteresante (?)

Er logging av "uvanlig" trafikk innefra og ut mht protokoll og port en aktuell løsning ? (Eller skal virkelig det hele logges ?)
Avatar billede langbein Nybegynder
09. april 2003 - 10:48 #8
Jeg holder for ensempel på med å laste ned 3 stk Red Hat 9.0 ISO. Dette måtte da produsere 10 tusener med ip pakker og log entries hvis jeg ville logge det hele ? Hva skulle jeg kunne bruke en slik samling med loggede ip pakker til ?
Avatar billede langbein Nybegynder
09. april 2003 - 10:50 #9
Eller er det slik at det bare skjer en log entry i det trafikken settes opp ?
Dette vet jeg faktisk ikke. Bør vel testes ut.
Avatar billede langbein Nybegynder
09. april 2003 - 10:58 #10
Tror denne vil logge all trafikk ut via Linux router forutsatt at eth1 er koplet mot lan.

iptables -A FORWARD -i eth1 -j LOG

(Altså: for alle pakker som passerer gjennom forward chain inn fra kort eth1, lag en log entry.)

Detaljer rundt oppsett av loggefunksjon, loggefil og slikt står i dette spørsmålet: http://www.eksperten.dk/spm/333357

tax -> Kan du lage en test og se om dette virker og om det produserer en meget stor mengde data ved at eventuelt alle pakker logges enketvis ? Hvis det viser seg å være tilfellet så må vi sette inn en eller annen filtrerings eller utvalgsfunksjon i selve loggingen slik at vi bare får logget de data som vi ønsker.
Avatar billede langbein Nybegynder
09. april 2003 - 11:06 #11
Sett den inn i posijon forran denne, slik:

iptables -A FORWARD -i $LAN_NIC -j LOG
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET


(Dank sin script genrerator sskriver slik:
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
Jeg skriver slik:
iptables -A FORWARD -i $LAN_NIC -s $LAN_IP_NET -j ACCEPT
Vi har forskjellig "tradisjon".
Avatar billede tax Nybegynder
21. april 2003 - 21:16 #12
Det fnker, men den sprøjter meget data af sig. Måske kunne man trimme det lidt?

data ser således ud..


Apr 21 21:17:27 shiva kernel: IN=eth0 OUT=eth1 SRC=10.0.0.10 DST=203.37.229.162 LEN=405 TOS=0x00 PREC=0x00 TTL=127 ID=41262 DF PROTO=TCP SPT=1708 DPT=443 WINDOW=8760 RES=0x00 ACK PSH URGP=0
Apr 21 21:17:27 shiva kernel: IN=eth0 OUT=eth1 SRC=10.0.0.10 DST=203.37.229.162 LEN=850 TOS=0x00 PREC=0x00 TTL=127 ID=41518 DF PROTO=TCP SPT=1708 DPT=443 WINDOW=8760 RES=0x00 ACK PSH URGP=0
Apr 21 21:17:28 shiva kernel: IN=eth0 OUT=eth1 SRC=10.0.0.10 DST=203.37.229.162 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=41774 DF PROTO=TCP SPT=1708 DPT=443 WINDOW=8597 RES=0x00 ACK URGP=0
Apr 21 21:17:29 shiva kernel: IN=eth0 OUT=eth1 SRC=10.0.0.10 DST=203.37.229.162 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=42030 DF PROTO=TCP SPT=1708 DPT=443 WINDOW=7666 RES=0x00 ACK URGP=0
Apr 21 21:17:32 shiva kernel: IN=eth0 OUT=eth1 SRC=10.0.0.10 DST=203.37.229.162 LEN=405 TOS=0x00 PREC=0x00 TTL=127 ID=42286 DF PROTO=TCP SPT=1708 DPT=443 WINDOW=7666 RES=0x00 ACK PSH URGP=0
Apr 21 21:17:32 shiva kernel: IN=eth0 OUT=eth1 SRC=10.0.0.10 DST=203.37.229.162 LEN=844 TOS=0x00 PREC=0x00 TTL=127 ID=42542 DF PROTO=TCP SPT=1708 DPT=443 WINDOW=7666 RES=0x00 ACK PSH URGP=0
Apr 21 21:17:33 shiva kernel: IN=eth0 OUT=eth1 SRC=10.0.0.10 DST=203.37.229.162 LEN=1209 TOS=0x00 PREC=0x00 TTL=127 ID=42798 DF PROTO=TCP SPT=1708 DPT=443 WINDOW=7666 RES=0x00 ACK PSH URGP=0
Apr 21 21:17:33 shiva kernel: IN=eth0 OUT=eth1 SRC=10.0.0.10 DST=203.37.229.162 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=43054 DF PROTO=TCP SPT=1708 DPT=443 WINDOW=7503 RES=0x00 ACK URGP=0
Apr 21 21:17:35 shiva kernel: IN=eth0 OUT=eth1 SRC=10.0.0.10 DST=203.37.229.162 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=43310 DF PROTO=TCP SPT=1708 DPT=443 WINDOW=8760 RES=0x00 ACK URGP=0
Apr 21 21:17:37 shiva kernel: IN=eth0 OUT=eth1 SRC=10.0.0.10 DST=203.37.229.162 LEN=405 TOS=0x00 PREC=0x00 TTL=127 ID=43566 DF PROTO=TCP SPT=1708 DPT=443 WINDOW=8760 RES=0x00 ACK PSH URGP=0
Apr 21 21:17:37 shiva kernel: IN=eth0 OUT=eth1 SRC=10.0.0.10 DST=203.37.229.162 LEN=838 TOS=0x00 PREC=0x00 TTL=127 ID=43822 DF PROTO=TCP SPT=1708 DPT=443 WINDOW=8760 RES=0x00 ACK PSH URGP=0
Apr 21 21:17:38 shiva kernel: IN=eth0 OUT=eth1 SRC=10.0.0.10 DST=203.37.229.162 LEN=1203 TOS=0x00 PREC=0x00 TTL=127 ID=44078 DF PROTO=TCP SPT=1708 DPT=443 WINDOW=8760 RES=0x00 ACK PSH URGP=0
Apr 21 21:17:39 shiva kernel: IN=eth0 OUT=eth1 SRC=10.0.0.10 DST=203.37.229.162 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=44334 DF PROTO=TCP SPT=1708 DPT=443 WINDOW=8760 RES=0x00 ACK URGP=0
Apr 21 21:17:39 shiva kernel: IN=eth0 OUT=eth1 SRC=10.0.0.10 DST=203.37.229.162 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=44590 DF PROTO=TCP SPT=1708 DPT=443 WINDOW=8760 RES=0x00 ACK URGP=0
Apr 21 21:17:41 shiva kernel: IN=eth0 OUT=eth1 SRC=10.0.0.10 DST=203.37.229.162 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=44846 DF PROTO=TCP SPT=1708 DPT=443 WINDOW=7669 RES=0x00 ACK URGP=0
Apr 21 21:17:44 shiva kernel: IN=eth0 OUT=eth1 SRC=10.0.0.10 DST=203.37.229.162 LEN=405 TOS=0x00 PREC=0x00 TTL=127 ID=45102 DF PROTO=TCP SPT=1708 DPT=443 WINDOW=7669 RES=0x00 ACK PSH URGP=0


det der er vigtigt for mig er klokkeslet, afsender LAN-IP og host, der bliver kontaktet.

5 min gav 385k data i fwlog
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Linux kategorien

Titel Indlæg Oprettet Seneste aktivitet
Kun read only adgang til filer FTP Server på Ubuntu Server Af Strawberry i Linux 6 18/03/202619:27 24/03/202613:16
PIHOLE Af dcedata1977 i Linux 6 14/03/202620:13 22/03/202615:06
SDKORT / SSD Af dcedata1977 i Linux 5 13/03/202612:06 15/03/202614:52
Gøre Billeder og Tegninger større (Linux Mint) Af Ikke-ekspert i Linux 8 07/03/202621:10 09/03/202601:11
Netværksadgang for flere brugere til samme filer på Ubuntu Server Af Strawberry i Linux 2 27/02/202611:38 27/02/202620:28
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 20:48 Bred buet skærm vs. 2 skærme Af Nanarsi i Skærme
I går 18:07 Tilslut printer til netværk med WPS - hvis WPS slukkes på Router mistes forbindelse. Af Uvanga i Wifi
11/0521:05 Questyle M15i lydforstærker Af valby i Diverse
11/0518:27 Mærkeligt ikon på proceslinjen Af ErikHg i Windows
11/0513:54 Jeg skal have indstaleret Garmin express Af skolevej321 i Andet software
White papers
Flere white papers »