[Frage] outgoing traffic loggen?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
D

duffy6

Mitglied
Mitglied seit
24 Dez 2007
Beiträge
307
Punkte für Reaktionen
2
Punkte
18
Hallo zusammen,

wie könnte ich denn ein log file erzeugen, in dem alle IP's/URLs geloggt werden, die die Rechner in meinem Netz nach draußen aufbauen?

Hab was von SNMP gelesen, aber nichts handfestes dazu gefunden...

Gruss
Duffy6
 
duffy6 schrieb:
...
wie könnte ich denn ein log file erzeugen, in dem alle IP's/URLs geloggt werden, die die Rechner in meinem Netz nach draußen aufbauen?
...
Zum Vergrößern anklicken....
Z. B. Freetz & Co. könnte das auch machen.
 
Snmp oder iptables: es sollte eine einfache und vor allem robuste Lösung sein.

Hat jmd was handfestes (Paketnamen, Code, etc)?

Gruss
Duffy6
 
duffy6 schrieb:
Snmp oder iptables: es sollte eine einfache und vor allem robuste Lösung sein.
...
Zum Vergrößern anklicken....
Mit Freetz könntest Du auch iptables auf deiner Box installieren (.. wenn deine Box für Freetz&iptables geeignet ist). Wie "robust" iptables beim Loggen dessen was Du willst ist, weiß ich nicht.

EDIT:

Mit Freetz gibt es u. a., auch das httpry-Paket für die Box.
 
Zuletzt bearbeitet:
httpry läuft auf der Box auch prima ohne Freetz. Einfach per debug.cfg starten, schon loggt das Tool alles auf einen USB-Stick. Allerdings werden damit nur http/https Zugriffe protokolliert.
 
Ja, leider nur http Log :-(

Zwei Fragen:
1)kann man mit httpry nur Traffic bestimmter Subnetze filtern (GastWlan über ddwrt)?
2) hat jmd Code fuer einen Log mittels iptables?

Gruss
Duffy6
 
ich will folgenden Traffic loggen: alle Ports, alle Destinations, die Besucher in meinem GästeWLAN ansurfen.

iptables ist ja bei freetz-stable-1.2 bei unstable aufgeführt.

Ist iptables so instabil?
 
duffy6 schrieb:
ich will folgenden Traffic loggen: alle Ports, alle Destinations, die Besucher in meinem GästeWLAN ansurfen.
Zum Vergrößern anklicken....
OK. Dann zusätzliche Frage. Willst Du deinen Besuchern das Ansurfen aller Dports erlaueben, oder evtl. auf Dports 80 und 443 begrenzen?.
duffy6 schrieb:
Ist iptables so instabil?
Zum Vergrößern anklicken....
Nein, iptables ist oder war nur auf der 7170 & ähnlich (Kernel), so weit ich weiß, instabil.
 
Willst Du deinen Besuchern das Ansurfen aller Dports erlaueben, oder evtl. auf Dports 80 und 443 begrenzen?.
Zum Vergrößern anklicken....
Ich will es auf einige Ports begrenzen: 21, 25, 110, 993, 995, 465, 5060, u. a.
 
OK, 80 und 443 sind nicht dabei. Das Begrenzen auf 21, 25, 110, 993, 995, 465, 5060 könntest Du z. B. mit iptables machen. Zum Loggen ist httpry, dann nicht geeignet. Da muss man schauen ob es für die Box, die benötigten iptables-Module, zum loggen gibt oder was Anderes für die Box und diese Dports (d. h. Protokolle) suchen.
 
Sorry, hab natürlich die beiden Ports 80 und 443 vergessen *an die Stirn klatsch*
 
Im trac gibt es u. a. auch ein Freetz-Paket mit dem man das was tcp, udp und icmp benutzt, loggen kann:
Code: 
[B]iplog[/B] is a TCP/IP traffic logger.  Currently, it is capable of logging
		  TCP, UDP and ICMP traffic, though adding support for other protocols
		  should be relatively easy. iplog contains a built-in packet filter,
		  allowing for logging or excluding packets that fit a given set of
		  criteria.
		  WWW: http://ojnk.sourceforge.net/
		  Readme: http://ojnk.sourceforge.net/stuff/iplog.readme
Code: 
root@fritz:/var/media/ftp/uStor01/external# ./iplog -h
Usage:  iplog  [options] (Denotes enabled by default)

--user      or -u <user|UID>     Run as specified the user or UID.
--group     or -g <group|GID>    Run with specified the group or GID.
--logfile   or -l <file>         Log to <file>.
--pid-file  <file>               Use <file> as the pid file.
--ignore    or -d                Ignore DNS traffic from nameservers listed in
/etc/resolv.conf.
--interface or -i <if0,...,ifN>  Listen on the specified interface(s).
--promisc   or -a <network>      Log traffic to all hosts on <network>.
--kill      or -k                Kill iplog, if it is running.
--restart   or -R                Restart iplog, if it is running.
--no-fork   or -o                Run in the foreground.
--stdout    or -L                Log to stdout.
--help      or -h                This help screen.
--version   or -v                Print version information and exit.

--facility <facility>            Use the specified syslog facility.
--priority <priority>            Use the specified syslog priority.

--tcp[=true|false|toggle]                      *Log TCP traffic.
--udp[=true|false|toggle]                      *Log UDP traffic.
--icmp[=true|false|toggle]                     *Log ICMP traffic.

--log-ip[=true|false|toggle]            or -w   Log IP along with hostname.
--log-dest[=true|false|toggle]          or -D   Log the destination of traffic.
--dns-cache[=true|false|toggle]         or -c  *Use the built-in DNS cache.
--get-ident[=true|false|toggle]         or -e   Get ident info on connections
to listening ports.

--tcp-resolve[=true|false|toggle]       or -T  *Resolve IPs of TCP traffic.
--udp-resolve[=true|false|toggle]       or -U  *Resolve IPs of UDP traffic.
--icmp-resolve[=true|false|toggle]      or -I  *Resolve IPs of ICMP traffic.
--disable-resolver                      or -N   Do not resolve any IPs.

--verbose[=true|false|toggle]           or -V   Be verbose.
--fool-nmap[=true|false|toggle]         or -z   Fool nmaps OS detection.
--scans-only[=true|false|toggle]        or -m   Only log scans.
--detect-syn-flood[=true|false|toggle]  or -s  *Stop resolving IPs if a
SYN flood is detected.

--log-frag[=true|false|toggle]          or -y  *Log fragment attacks.
--log-traceroute[=true|false|toggle]    or -t  *Log traceroutes.
--log-ping-flood[=true|false|toggle]    or -P  *Log ICMP ping floods.
--log-smurf[=true|false|toggle]         or -S  *Log smurf attacks.
--log-bogus[=true|false|toggle]         or -b  *Log bogus TCP flags.
--log-portscan[=true|false|toggle]      or -p  *Log port scans.
--log-udp-scan[=true|false|toggle]      or -F  *Log UDP scans/floods.
--log-fin-scan[=true|false|toggle]      or -f  *Log FIN scans.
--log-syn-scan[=true|false|toggle]      or -q  *Log SYN scans.
--log-xmas-scan[=true|false|toggle]     or -x  *Log Xmas scans.
--log-null-scan[=true|false|toggle]     or -n  *Log null scans.
Ich denke, für 5060 sollte es im trac auch was geben.

EDIT:

Beispiel:
Code: 
root@fritz:/var/mod/root# iplog -odLVwDTs --tcp=true --udp=false -a 0.0.0.0/0 --log-syn-scan=true
Warning: Overriding --logfile
May 29 00:31:56 iplog started.
May 29 00:32:01 TCP: port 80 connection attempt to vserver02.cte.de (85.214.209.234) from 192.168.122.45:52391
May 29 00:32:01 TCP: port 80 connection attempt to vserver02.cte.de (85.214.209.234) from 192.168.122.45:52392
May 29 00:34:28 TCP: port 1720 connection attempt to fritz.box (192.168.122.1) from 192.168.122.45:62995
May 29 00:34:28 TCP: port 143 connection attempt to fritz.box (192.168.122.1) from 192.168.122.45:62995
May 29 00:34:28 TCP: port 256 connection attempt to fritz.box (192.168.122.1) from 192.168.122.45:62995
May 29 00:34:28 TCP: port 993 connection attempt to fritz.box (192.168.122.1) from 192.168.122.45:62995
May 29 00:34:28 TCP: port 53 connection attempt to fritz.box (192.168.122.1) from 192.168.122.45:62995
May 29 00:34:28 TCP: port 25 connection attempt to fritz.box (192.168.122.1) from 192.168.122.45:62995
May 29 00:34:28 TCP: port 1025 connection attempt to fritz.box (192.168.122.1) from 192.168.122.45:62995
May 29 00:34:28 TCP: port 8888 connection attempt to fritz.box (192.168.122.1) from 192.168.122.45:62995
May 29 00:34:28 TCP: port 3389 connection attempt to fritz.box (192.168.122.1) from 192.168.122.45:62995
May 29 00:34:28 TCP: SYN scan detected to fritz.box (192.168.122.1) [ports 1720,143,256,993,53,25,1025,8888,3389,21,...] from 192.168.122.45 [port 62995]
 
Zuletzt bearbeitet:
Oh, nicht das wir aneinander vorbeireden: ich will nicht die Pakete aufzeichnen, sondern nur die ZielIP/ZielPort und falls möglich mit namensauflösung
 
Nein, nein, ich habe dich schon richtig verstanden, oder siehst Du im Beispiel von iplog (Beitrag #13) aufgezeichnete Datenpakete.;-)
 
Sieht mal sehr gut aus!
Newbie Frage: wie krieg ich das in mein freetz1.2?
 
duffy6 schrieb:
...
wie krieg ich das in mein freetz1.2?
Zum Vergrößern anklicken....
Sollte kein Problem sein. Die iplog.mk-Datei muss ein klein wenig geändert werden.;-)

EDIT:

Oh, ich hoffe ich habe nicht zu viel versprochen. Schau mal ob es in deinem Freetz die libpcap schon gibt.;)
Code: 
# ldd ./iplog
        libpthread.so.0 => /lib/libpthread.so.0 (0x2aabe000)
        [COLOR="red"]libpcap.so.1.1 => /usr/lib/freetz/libpcap.so.1.1[/COLOR] (0x2aae1000)
        libgcc_s.so.1 => /lib/libgcc_s.so.1 (0x2ab23000)
        libc.so.0 => /lib/libc.so.0 (0x2ab41000)
        ld-uClibc.so.0 => /lib/ld-uClibc.so.0 (0x2aaa8000)

EDIT 2:

Wie ist bei deinem Freetz die Ausgabe von:
Code: 
# [B][COLOR="red"]find / -iname 'libpcap*'[/COLOR][/B]
auf deiner Box?

EDIT 3:
Versuch mal mit dem Patch aus dem Anhang, nach dem Patchen, ein make iplog-precompiled.
 

Anhänge

  • iplog_stable_090711.patch.txt
    11.8 KB · Aufrufe: 10
Zuletzt bearbeitet:
Ähm....hüstel....was sind mk-Dateien und was mach ich damit?


Freetz spuckt folgendes aus:

zu edit2:
Code: 
/var/lib/dpkg/info/libpcap0.8.shlibs
/var/lib/dpkg/info/libpcap0.8.md5sums
/var/lib/dpkg/info/libpcap0.8.postrm
/var/lib/dpkg/info/libpcap0.8.list
/var/lib/dpkg/info/libpcap0.8.postinst
/usr/share/doc/libpcap0.8
/usr/lib/libpcap.so.1.0.0
/usr/lib/libpcap.so.0.8
/home/freetz/freetz-stable-1.2/make/libs/.svn/text-base/libpcap.mk.svn-base
/home/freetz/freetz-stable-1.2/make/libs/libpcap.mk
 
Du musst nichts in der mk-Datei machen Einfach den Patch aus Beitrag #17-Anhang (siehe dort EDIT 3) downloaden, Patchen (patch -p0 < iplog_stable_090711.patch.txt) in dem Wurzel-Verzeichnis deines Freetz-Build-System, make iplog-precompiled ausführen und hier über das Ergebnis berichten. Und dann schauen wir weiter.;-)
 
Zuletzt bearbeitet:
Ok, hab das mal eingetippt und glaube das ist ohne fehler durchgelaufen (vgl. screenshot). Copy&Paste mit Virtualbox klappt wohl nicht.
Wie gehts dann weiter? make?09.07.png
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 653 (Mitglieder: 12, Gäste: 641)

Neueste Beiträge

Statistik des Forums

Themen
244,882
Beiträge
2,220,093
Mitglieder
371,611
Neuestes Mitglied
Mandylion73
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück