| View previous topic :: View next topic |
| Author |
Message |
bartmarian
Guru
Joined: 28 Nov 2005
Posts: 557
|
 Posted: Sun Jul 23, 2006 4:11 pm Post subject: [SOLVED] logowanie polaczen nat |
 |
|
Witam, umiescilem regolke do logowania polaczen z hostow za nat-em
| Code: | | iptables -t nat -I POSTROUTING -o eth0 -j LOG --log-prefix "incoming " --log-level 6 |
i to powoduje dosc spory przyrost pliku, co powinienem umiescic w log-prefix abym mial zalogowane kazde rozpoczete nawiazane polaczenie i nic wiecej ? ktos odemnie wlamal sie/skasowa dane na innym pub IP a chcialbym miec mozliwosc w przyszlosci znalezienia szkodnika.
Pozdrawiam
Last edited by bartmarian on Mon Jul 24, 2006 3:56 pm; edited 1 time in total |
|
| Back to top |
|
 |
manwe_
l33t
Joined: 01 Feb 2006
Posts: 632
Location: Kraków/Cracow, Poland
|
| Posted: Sun Jul 23, 2006 5:18 pm Post subject: |
|
|
| Tak na szybko wymyślone. Może loguj tylko pakiety tcp z flagami SYN i FIN [-p tcp --tcp-flags....] ? |
|
| Back to top |
|
|
bartmarian
Guru
Joined: 28 Nov 2005
Posts: 557
|
| Posted: Sun Jul 23, 2006 6:01 pm Post subject: |
|
|
dzieki, sluszna koncepcja, czy to oznacza ze np. udp icmp gre itd nie posluza nikomu ? (bo nie wiem), czy tez nalezalo by logowac ten ruch w inny sposób ?
od raku: po co ja to poprawiam... takim sposobem też można zdać maturę... |
|
| Back to top |
|
|
manwe_
l33t
Joined: 01 Feb 2006
Posts: 632
Location: Kraków/Cracow, Poland
|
| Posted: Sun Jul 23, 2006 7:12 pm Post subject: |
|
|
| Kolejnymi regułkami możesz zrzucać udp/icmp, ale nie przychodzą mi na myśl żadne poważniejsze ataki poza (D)DoS za ich pomocą. Bo to skasowanie danych o których piszesz pewnie wymagało połączenia ssh/ftp/sftp, czyli jednak tcp. |
|
| Back to top |
|
|
bartmarian
Guru
Joined: 28 Nov 2005
Posts: 557
|
| Posted: Sun Jul 23, 2006 9:45 pm Post subject: |
|
|
dzieki za info, poprostu nie bylem pewny, nawet jak istnieje jakas metoda to pewnie jest rzadka, w niecale 8h nazbieralem ponad 50M, w sumie to nie jakas tragedia ~150M na dobe, wiec chyba pozostawie jak jest, przynajmniej narazie.
Pozdrawiam |
|
| Back to top |
|
|
Johnny_Bit
Apprentice
Joined: 30 Aug 2005
Posts: 246
Location: Poland
|
| Posted: Mon Jul 24, 2006 11:38 am Post subject: |
|
|
| użyj logrotate i filtrów loga. po odpowiednim ustawieniu będzie rosło wolniej i tylko to co trzeba |
|
| Back to top |
|
|
bartmarian
Guru
Joined: 28 Nov 2005
Posts: 557
|
| Posted: Mon Jul 24, 2006 3:56 pm Post subject: |
|
|
w koncu zrobilem cos takiego:
| Code: | iptables -t mangle -A PREROUTING -m state --state INVALID -j LOG --log-prefix " invalid " --log-level 6
iptables -t mangle -A PREROUTING -p tcp --dport 1:1024 -m state --state NEW --tcp-flags ALL SYN -j LOG --log-prefix " aqq " --log-level 6 |
pierwsza czesc loguje bledy ( i np ew proby skanowania portow )
druga loguje to co mnie interesowalo, z zakresu docelowych portow 1:1024 - sobie mozna zmieniac, ale np p2p....
mozna sobie przeciez dodac kilka razy regolke na wysokie porty albo skorzystac z multiporta.
co prawda nie jestem przekonany czy potrzeba i ststeNew i flagsALL SYN jednoczesnie,
w kazdym razie dziala. |
|
| Back to top |
|
|
|
Polskie forum (Polish)
