Archiv verlassen und diese Seite im Standarddesign anzeigen : Portbasierter Trafficlogger?
Hallo,
ich möchte auf meinem Server einen einzelnen Port loggen (also die Daten, die da drübergehen sowohl Ein als auch Aus)
Hab schon etwas rumgesucht und unzählige verschiedene Tools gefunden, oft extrem veraltet, andere wieder völlig überdimensioniert :ugly:
Kurzum, ich hätte gern die einfachste Lösung um die Werte zB jede Stunde in ein Textfile zu schreiben - kann mir da wer ein bestimmtes Programm empfehlen?
MannOhMann
19.10.10, 14:44
iptraf könnte dir helfen.
Sieht gut aus, leider verlangt es eine ethX Schnittstelle und ich hab nur eine virtuelle venetX ;)
derRichard
20.10.10, 00:29
hi!
ich würde das kurzerhand mit iptables machen.
da hast du schöne counter...
hth,
//richard
Danke, der Richard.. manchmal sieht man auch den Wald vor lauter Bäumen nicht :D
Hab mich nun daran gemacht, das direkt mit den iptables mitzuzählen - damit es einfacher wird und man zurücksetzen kann zwei eigene chains für In- und Output des Programms (SIMUIN, SIMUOUT) angelegt. Scheint für den Input zu funktionieren, leider bleibt der Outputzähler aber bei 0 :confused:
iptables -nvx -L
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
3781 208328 SIMUIN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:13353
0 0 REJECT all -- * * 87.106.63.145 0.0.0.0/0 reject-with icmp-port-unreachable
180 10800 REJECT all -- * * 61.134.52.82 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 88.55.108.19 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 89.208.40.152 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 193.106.65.15 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- * * 218.85.90.2 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 SIMUIN tcp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
5 216 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 reject-with tcp-reset
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
9 540 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8443
69 4128 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8880
69 3980 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
1 60 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 reject-with tcp-reset
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 ACCEPT all -- lo lo 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 SIMUOUT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:13353
17740 15416513 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
8 344 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 reject-with tcp-reset
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
9 540 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8880
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
Chain SIMUIN (1 references)
pkts bytes target prot opt in out source destination
3781 208328 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:13353
Chain SIMUOUT (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:13353
Das Programm arbeitet mit Port 13353^
Interessanterweise läuft der gesamte ausgehende Traffic über die -state RELATED, ESTABLISHED Regel, auch http, ftp, usw. :rolleyes:
Hatte versuchsweise diese Regel auskommentiert in der Meinung, daß die Freigabe der einzelnen Ports eh genügen müßte, das hat dann aber sogar meinen ssh Zugang rausgesperrt :ugly:
Das System ist ein Vserver bei 1&1.
rettichschnidi
21.10.10, 12:30
Wie wäre es mit NfSen (http://nfsen.sourceforge.net/)/Nfdump? Zusammen mit fprobe[-ng](spricht netflow) kannst du so ziemlich alles loggen und nachvollziehen. Oder ist das schon wieder überdimensioniert?
ndump probier ich als nächstes ;)
Bei der Output Chain würde ich auch eher Sourceport setzen und nicht Destination.
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.