Автор Тема: iptables логване на string от трафика  (Прочетена 4215 пъти)

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Здравейте, Колеги

Имам един въпрос и не знам по какъв начин да го задам, дано ме разберете така:

Знаете, че iptables има възможност да блокира определени стрингове имам в предвид:
Код:
-m string --algo bm --hex-string "|....|"

въпроса ми е по какъв начин мога да логна стринг от влизащия в машината трафик. Стринга не е точно определен, не го знам и за това ми е въпроса с какво се логва.

Силно се надявам да сте ме разбрали защото го обясних доста странно

« Последна редакция: Feb 28, 2012, 13:40 от freedj »
Активен

Linux is the LIFE!

dejuren

  • Напреднали
  • *****
  • Публикации: 1025
  • Distribution: Ubuntu, RedHat
  • Window Manager: lxde KDE4
    • Профил
Re: iptables логване на string от трафика
« Отговор #1 -: Feb 28, 2012, 19:17 »
Ако "да логна стринг" означава да запиша в лога, че се е получило съвпадение тогава може така в края на правилото:

-j LOG --log-level Х --log-prefix "съвпадение на стринга"
Активен

http://webchat.freenode.net/?channels=ubuntu-bg
The quieter you become, the more you are able to hear.
Две седмици цъкане с мишката спестяват два часа четене на документацията.

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Re: iptables логване на string от трафика
« Отговор #2 -: Feb 28, 2012, 19:34 »
Нека се опитам да го обясня още веднъж. Знаете, че всеки пакет съдържа определен стринг в себе си, чел съм статии как да блокираме Twitter точно със такъв стринг, и по-точно: http://infolookup.securegossip.com/2011/04/07/iptables-l7-filtering-tip/ . Искам да логвам точно такъв стринг на определени приложения които работят на UDP и да ги блокирам според този стринг, пробвах с ngrep, както е дадено в статията, но не се получава. Реално стринга не го знам и искам да го логна със трафика
Активен

Linux is the LIFE!

ddantgwyn

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 1140
    • Профил
Re: iptables логване на string от трафика
« Отговор #3 -: Feb 28, 2012, 21:21 »
Нека се опитам да го обясня още веднъж. Знаете, че всеки пакет съдържа определен стринг в себе си, чел съм статии как да блокираме Twitter точно със такъв стринг, и по-точно: http://infolookup.securegossip.com/2011/04/07/iptables-l7-filtering-tip/ . Искам да логвам точно такъв стринг на определени приложения които работят на UDP и да ги блокирам според този стринг, пробвах с ngrep, както е дадено в статията, но не се получава. Реално стринга не го знам и искам да го логна със трафика

е как ще „логнеш“ нещо, което не знаеш? в такъв случай не трябва ли да логваш всичко?
Активен

--
the lamer's team honourable member

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Re: iptables логване на string от трафика
« Отговор #4 -: Feb 28, 2012, 21:29 »
Точно за това се допитвам до вас, защото когато направя лог на самия УДП трафик не излиза стринга на приложението. Това търся и аз дали има някакъв начин да се логне, дори и да не с iptables
Активен

Linux is the LIFE!

ddantgwyn

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 1140
    • Профил
Re: iptables логване на string от трафика
« Отговор #5 -: Feb 28, 2012, 21:52 »
Точно за това се допитвам до вас, защото когато направя лог на самия УДП трафик не излиза стринга на приложението. Това търся и аз дали има някакъв начин да се логне, дори и да не с iptables

все пак кое е приложението, което искаш да блокираш? първо споменаваш twitter, после говориш общо за приложения, генериращи UDP трафик.

бъди по-конкретен за да може да получиш евентуално конкретен отговор, а не такива уточняващи въпроси като моя и в крайна сметка да стигнем до извода „не знам“.
Активен

--
the lamer's team honourable member

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Re: iptables логване на string от трафика
« Отговор #6 -: Feb 28, 2012, 22:04 »
Няма значение кое приложение е искам просто да знам дали има такава възможност, да ли по-някакъв начин може да се логне правилния стринг.
Активен

Linux is the LIFE!

ddantgwyn

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 1140
    • Профил
Re: iptables логване на string от трафика
« Отговор #7 -: Feb 28, 2012, 22:10 »
Няма значение кое приложение е искам просто да знам дали има такава възможност, да ли по-някакъв начин може да се логне правилния стринг.

Ами като гледам статията, която си споменал -- да, може. Но трябва да знаеш точния стринг. Иначе няма как да стане.
Активен

--
the lamer's team honourable member

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Re: iptables логване на string от трафика
« Отговор #8 -: Feb 29, 2012, 07:33 »
Въпроса ми е от къде да го взема този точен стринг или по-точно от къде да го видя?
Активен

Linux is the LIFE!

ray

  • Напреднали
  • *****
  • Публикации: 1362
    • Профил
Re: iptables логване на string от трафика
« Отговор #9 -: Feb 29, 2012, 09:14 »
Здравей,

Не съм зареждал връзката която даваш, но съдейки по частта 'l7-filtering'вероятно става дума за пакета "l7-filter", това е модул на ядрото за филтриране на торенти (става и за други неща ако имаш съответните сигнатури), освен този пакет има и още един (виж на страницата на проекта) където се намира база данни със сигнатурите на различните приложения (май основно торент-клиенти).
Там са и стринговете за които питаш.
Успех, Румен
Активен

ddantgwyn

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 1140
    • Профил
Re: iptables логване на string от трафика
« Отговор #10 -: Feb 29, 2012, 09:18 »
Въпроса ми е от къде да го взема този точен стринг или по-точно от къде да го видя?

Всъщност, въпросът ви беше „ ... по какъв начин мога да логна стринг от влизащия в машината трафик. Стринга не е точно определен, не го знам и за това ми е въпроса с какво се логва.“

Трябваше да започнете с последния си въпрос, на който гледам вече са ви отговорили.

И мога ли да попитам за какво ви трябва да логвате влизащ трафик?
Активен

--
the lamer's team honourable member

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Re: iptables логване на string от трафика
« Отговор #11 -: Feb 29, 2012, 14:28 »
Точно за това казах, че не знам как по-точно да си задам въпроса. Искам да логна определени стрингове на определени програми работещи на UDP, точно приложение не мога да ви дам в момента, но искам да знам просто как става, защото четох доста по въпроса и не разбрах точно с кое мога да го направя и най-вече как.

Лек и успешен остатък от деня
Активен

Linux is the LIFE!

ray

  • Напреднали
  • *****
  • Публикации: 1362
    • Профил
Re: iptables логване на string от трафика
« Отговор #12 -: Feb 29, 2012, 16:35 »
Здравейте,

Доколкото знам може да се логват всякакви стрингове (просто не съм го правил);
В настройките на ядрото и iptables трябва да са зададени съответните опции.
С повече късмет ползваната дистрибуция вече ще ги има, ако ли не - custom ядро.
Ето две връзки с информация:
http://www.symantec.com/connect/articles/iptables-linux-firewall-packet-string-matching-support
http://www.linuxquestions.org/questions/linux-security-4/iptables-string-match-113326/
Има и много други.
Успех, Румен
Активен

freedj

  • Напреднали
  • *****
  • Публикации: 204
  • Distribution: Debian
  • Window Manager: Server
    • Профил
Re: iptables логване на string от трафика
« Отговор #13 -: Feb 29, 2012, 18:50 »
Благодаря ви колеги, намерих това което исках, ставало най-просто със tcpdump със следния синтаксис:
Код:
tcpdump -i eth0 -l -nn -s 0 -x port 12553

Изкарва ми точно нова което исках да видя и да си намеря решение на проблема.

Поздрави :)
Активен

Linux is the LIFE!

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Modem init string i chat script
Настройка на хардуер
Nerdboy 3 2098 Последна публикация Aug 16, 2002, 17:16
от Michael
Init-string for correct dial - RH6.2<->R.well33.6
Настройка на програми
enemy 0 1420 Последна публикация Sep 14, 2002, 16:05
от enemy
iptables
Настройка на програми
ivanatora 16 7681 Последна публикация May 25, 2003, 11:34
от mtab
iptables string match
Настройка на програми
DHCP 0 1130 Последна публикация May 20, 2004, 23:04
от DHCP
Заместване на string чрез sed
Настройка на програми
globaluty 9 2025 Последна публикация Nov 27, 2015, 10:18
от korea60