Linux за българи: Форуми

Здравейте, Колеги

Имам един въпрос и не знам по какъв начин да го задам, дано ме разберете така:

Знаете, че iptables има възможност да блокира определени стрингове имам в предвид:

въпроса ми е по какъв начин мога да логна стринг от влизащия в машината трафик. Стринга не е точно определен, не го знам и за това ми е въпроса с какво се логва.

Силно се надявам да сте ме разбрали защото го обясних доста странно

Ако "да логна стринг" означава да запиша в лога, че се е получило съвпадение тогава може така в края на правилото:

-j LOG --log-level Х --log-prefix "съвпадение на стринга"

Нека се опитам да го обясня още веднъж. Знаете, че всеки пакет съдържа определен стринг в себе си, чел съм статии как да блокираме Twitter точно със такъв стринг, и по-точно: http://infolookup.securegossip.com/2011/04/07/iptables-l7-filtering-tip/ . Искам да логвам точно такъв стринг на определени приложения които работят на UDP и да ги блокирам според този стринг, пробвах с ngrep, както е дадено в статията, но не се получава. Реално стринга не го знам и искам да го логна със трафика

Нека се опитам да го обясня още веднъж. Знаете, че всеки пакет съдържа определен стринг в себе си, чел съм статии как да блокираме Twitter точно със такъв стринг, и по-точно: http://infolookup.securegossip.com/2011/04/07/iptables-l7-filtering-tip/ . Искам да логвам точно такъв стринг на определени приложения които работят на UDP и да ги блокирам според този стринг, пробвах с ngrep, както е дадено в статията, но не се получава. Реално стринга не го знам и искам да го логна със трафика

е как ще „логнеш“ нещо, което не знаеш? в такъв случай не трябва ли да логваш всичко?

Точно за това се допитвам до вас, защото когато направя лог на самия УДП трафик не излиза стринга на приложението. Това търся и аз дали има някакъв начин да се логне, дори и да не с iptables

Точно за това се допитвам до вас, защото когато направя лог на самия УДП трафик не излиза стринга на приложението. Това търся и аз дали има някакъв начин да се логне, дори и да не с iptables

все пак кое е приложението, което искаш да блокираш? първо споменаваш twitter, после говориш общо за приложения, генериращи UDP трафик.

бъди по-конкретен за да може да получиш евентуално конкретен отговор, а не такива уточняващи въпроси като моя и в крайна сметка да стигнем до извода „не знам“.

Няма значение кое приложение е искам просто да знам дали има такава възможност, да ли по-някакъв начин може да се логне правилния стринг.

Няма значение кое приложение е искам просто да знам дали има такава възможност, да ли по-някакъв начин може да се логне правилния стринг.

Ами като гледам статията, която си споменал -- да, може. Но трябва да знаеш точния стринг. Иначе няма как да стане.

Въпроса ми е от къде да го взема този точен стринг или по-точно от къде да го видя?

Здравей,

Не съм зареждал връзката която даваш, но съдейки по частта 'l7-filtering'вероятно става дума за пакета "l7-filter", това е модул на ядрото за филтриране на торенти (става и за други неща ако имаш съответните сигнатури), освен този пакет има и още един (виж на страницата на проекта) където се намира база данни със сигнатурите на различните приложения (май основно торент-клиенти).
Там са и стринговете за които питаш.
Успех, Румен

Въпроса ми е от къде да го взема този точен стринг или по-точно от къде да го видя?

Всъщност, въпросът ви беше „ ... по какъв начин мога да логна стринг от влизащия в машината трафик. Стринга не е точно определен, не го знам и за това ми е въпроса с какво се логва.“

Трябваше да започнете с последния си въпрос, на който гледам вече са ви отговорили.

И мога ли да попитам за какво ви трябва да логвате влизащ трафик?

Точно за това казах, че не знам как по-точно да си задам въпроса. Искам да логна определени стрингове на определени програми работещи на UDP, точно приложение не мога да ви дам в момента, но искам да знам просто как става, защото четох доста по въпроса и не разбрах точно с кое мога да го направя и най-вече как.

Лек и успешен остатък от деня

Здравейте,

Доколкото знам може да се логват всякакви стрингове (просто не съм го правил);
В настройките на ядрото и iptables трябва да са зададени съответните опции.
С повече късмет ползваната дистрибуция вече ще ги има, ако ли не - custom ядро.
Ето две връзки с информация:
http://www.symantec.com/connect/articles/iptables-linux-firewall-packet-string-matching-support
http://www.linuxquestions.org/questions/linux-security-4/iptables-string-match-113326/
Има и много други.
Успех, Румен

Благодаря ви колеги, намерих това което исках, ставало най-просто със tcpdump със следния синтаксис:

Изкарва ми точно нова което исках да видя и да си намеря решение на проблема.

Поздрави :)