[Frage] outgoing traffic loggen?

[duffy6]

Hallo zusammen,

wie könnte ich denn ein log file erzeugen, in dem alle IP's/URLs geloggt werden, die die Rechner in meinem Netz nach draußen aufbauen?

Hab was von SNMP gelesen, aber nichts handfestes dazu gefunden...

Gruss
Duffy6

 

[sf3978]

...
wie könnte ich denn ein log file erzeugen, in dem alle IP's/URLs geloggt werden, die die Rechner in meinem Netz nach draußen aufbauen?
...

Z. B. Freetz & Co. könnte das auch machen.

 

[duffy6]

Snmp oder iptables: es sollte eine einfache und vor allem robuste Lösung sein.

Hat jmd was handfestes (Paketnamen, Code, etc)?

Gruss
Duffy6

 

[sf3978]

Snmp oder iptables: es sollte eine einfache und vor allem robuste Lösung sein.
...

Mit Freetz könntest Du auch iptables auf deiner Box installieren (.. wenn deine Box für Freetz&iptables geeignet ist). Wie "robust" iptables beim Loggen dessen was Du willst ist, weiß ich nicht.

EDIT:

Mit Freetz gibt es u. a., auch das httpry-Paket für die Box.

 

[chked]

httpry läuft auf der Box auch prima ohne Freetz. Einfach per debug.cfg starten, schon loggt das Tool alles auf einen USB-Stick. Allerdings werden damit nur http/https Zugriffe protokolliert.

 

[duffy6]

Ja, leider nur http Log :-(

Zwei Fragen:
1)kann man mit httpry nur Traffic bestimmter Subnetze filtern (GastWlan über ddwrt)?
2) hat jmd Code fuer einen Log mittels iptables?

Gruss
Duffy6

 

[sf3978]

Ja, leider nur http Log :-(

Welchen traffic willst Du loggen?

1)kann man mit httpry nur Traffic bestimmter Subnetze filtern (GastWlan über ddwrt)?

Ja, mit dem richtigen capture filter, geht das.

 

[duffy6]

ich will folgenden Traffic loggen: alle Ports, alle Destinations, die Besucher in meinem GästeWLAN ansurfen.

iptables ist ja bei freetz-stable-1.2 bei unstable aufgeführt.

Ist iptables so instabil?

 

[sf3978]

ich will folgenden Traffic loggen: alle Ports, alle Destinations, die Besucher in meinem GästeWLAN ansurfen.

OK. Dann zusätzliche Frage. Willst Du deinen Besuchern das Ansurfen aller Dports erlaueben, oder evtl. auf Dports 80 und 443 begrenzen?.

Ist iptables so instabil?

Nein, iptables ist oder war nur auf der 7170 & ähnlich (Kernel), so weit ich weiß, instabil.

 

[duffy6]

Willst Du deinen Besuchern das Ansurfen aller Dports erlaueben, oder evtl. auf Dports 80 und 443 begrenzen?.

Ich will es auf einige Ports begrenzen: 21, 25, 110, 993, 995, 465, 5060, u. a.

 

[sf3978]

OK, 80 und 443 sind nicht dabei. Das Begrenzen auf 21, 25, 110, 993, 995, 465, 5060 könntest Du z. B. mit iptables machen. Zum Loggen ist httpry, dann nicht geeignet. Da muss man schauen ob es für die Box, die benötigten iptables-Module, zum loggen gibt oder was Anderes für die Box und diese Dports (d. h. Protokolle) suchen.

 

[duffy6]

Sorry, hab natürlich die beiden Ports 80 und 443 vergessen *an die Stirn klatsch*

 

[sf3978]

Im trac gibt es u. a. auch ein Freetz-Paket mit dem man das was tcp, udp und icmp benutzt, loggen kann:

[B]iplog[/B] is a TCP/IP traffic logger.  Currently, it is capable of logging
		  TCP, UDP and ICMP traffic, though adding support for other protocols
		  should be relatively easy. iplog contains a built-in packet filter,
		  allowing for logging or excluding packets that fit a given set of
		  criteria.
		  WWW: http://ojnk.sourceforge.net/
		  Readme: http://ojnk.sourceforge.net/stuff/iplog.readme

root@fritz:/var/media/ftp/uStor01/external# ./iplog -h
Usage:  iplog  [options] (Denotes enabled by default)

--user      or -u <user|UID>     Run as specified the user or UID.
--group     or -g <group|GID>    Run with specified the group or GID.
--logfile   or -l <file>         Log to <file>.
--pid-file  <file>               Use <file> as the pid file.
--ignore    or -d                Ignore DNS traffic from nameservers listed in
/etc/resolv.conf.
--interface or -i <if0,...,ifN>  Listen on the specified interface(s).
--promisc   or -a <network>      Log traffic to all hosts on <network>.
--kill      or -k                Kill iplog, if it is running.
--restart   or -R                Restart iplog, if it is running.
--no-fork   or -o                Run in the foreground.
--stdout    or -L                Log to stdout.
--help      or -h                This help screen.
--version   or -v                Print version information and exit.

--facility <facility>            Use the specified syslog facility.
--priority <priority>            Use the specified syslog priority.

--tcp[=true|false|toggle]                      *Log TCP traffic.
--udp[=true|false|toggle]                      *Log UDP traffic.
--icmp[=true|false|toggle]                     *Log ICMP traffic.

--log-ip[=true|false|toggle]            or -w   Log IP along with hostname.
--log-dest[=true|false|toggle]          or -D   Log the destination of traffic.
--dns-cache[=true|false|toggle]         or -c  *Use the built-in DNS cache.
--get-ident[=true|false|toggle]         or -e   Get ident info on connections
to listening ports.

--tcp-resolve[=true|false|toggle]       or -T  *Resolve IPs of TCP traffic.
--udp-resolve[=true|false|toggle]       or -U  *Resolve IPs of UDP traffic.
--icmp-resolve[=true|false|toggle]      or -I  *Resolve IPs of ICMP traffic.
--disable-resolver                      or -N   Do not resolve any IPs.

--verbose[=true|false|toggle]           or -V   Be verbose.
--fool-nmap[=true|false|toggle]         or -z   Fool nmaps OS detection.
--scans-only[=true|false|toggle]        or -m   Only log scans.
--detect-syn-flood[=true|false|toggle]  or -s  *Stop resolving IPs if a
SYN flood is detected.

--log-frag[=true|false|toggle]          or -y  *Log fragment attacks.
--log-traceroute[=true|false|toggle]    or -t  *Log traceroutes.
--log-ping-flood[=true|false|toggle]    or -P  *Log ICMP ping floods.
--log-smurf[=true|false|toggle]         or -S  *Log smurf attacks.
--log-bogus[=true|false|toggle]         or -b  *Log bogus TCP flags.
--log-portscan[=true|false|toggle]      or -p  *Log port scans.
--log-udp-scan[=true|false|toggle]      or -F  *Log UDP scans/floods.
--log-fin-scan[=true|false|toggle]      or -f  *Log FIN scans.
--log-syn-scan[=true|false|toggle]      or -q  *Log SYN scans.
--log-xmas-scan[=true|false|toggle]     or -x  *Log Xmas scans.
--log-null-scan[=true|false|toggle]     or -n  *Log null scans.

Ich denke, für 5060 sollte es im trac auch was geben.

EDIT:

Beispiel:

root@fritz:/var/mod/root# iplog -odLVwDTs --tcp=true --udp=false -a 0.0.0.0/0 --log-syn-scan=true
Warning: Overriding --logfile
May 29 00:31:56 iplog started.
May 29 00:32:01 TCP: port 80 connection attempt to vserver02.cte.de (85.214.209.234) from 192.168.122.45:52391
May 29 00:32:01 TCP: port 80 connection attempt to vserver02.cte.de (85.214.209.234) from 192.168.122.45:52392
May 29 00:34:28 TCP: port 1720 connection attempt to fritz.box (192.168.122.1) from 192.168.122.45:62995
May 29 00:34:28 TCP: port 143 connection attempt to fritz.box (192.168.122.1) from 192.168.122.45:62995
May 29 00:34:28 TCP: port 256 connection attempt to fritz.box (192.168.122.1) from 192.168.122.45:62995
May 29 00:34:28 TCP: port 993 connection attempt to fritz.box (192.168.122.1) from 192.168.122.45:62995
May 29 00:34:28 TCP: port 53 connection attempt to fritz.box (192.168.122.1) from 192.168.122.45:62995
May 29 00:34:28 TCP: port 25 connection attempt to fritz.box (192.168.122.1) from 192.168.122.45:62995
May 29 00:34:28 TCP: port 1025 connection attempt to fritz.box (192.168.122.1) from 192.168.122.45:62995
May 29 00:34:28 TCP: port 8888 connection attempt to fritz.box (192.168.122.1) from 192.168.122.45:62995
May 29 00:34:28 TCP: port 3389 connection attempt to fritz.box (192.168.122.1) from 192.168.122.45:62995
May 29 00:34:28 TCP: SYN scan detected to fritz.box (192.168.122.1) [ports 1720,143,256,993,53,25,1025,8888,3389,21,...] from 192.168.122.45 [port 62995]

 

[duffy6]

Oh, nicht das wir aneinander vorbeireden: ich will nicht die Pakete aufzeichnen, sondern nur die ZielIP/ZielPort und falls möglich mit namensauflösung

 

[sf3978]

Nein, nein, ich habe dich schon richtig verstanden, oder siehst Du im Beispiel von iplog (Beitrag #13) aufgezeichnete Datenpakete.;-)

 

[duffy6]

Sieht mal sehr gut aus!
Newbie Frage: wie krieg ich das in mein freetz1.2?

 

[sf3978]

...
wie krieg ich das in mein freetz1.2?

Sollte kein Problem sein. Die iplog.mk-Datei muss ein klein wenig geändert werden.;-)

EDIT:

Oh, ich hoffe ich habe nicht zu viel versprochen. Schau mal ob es in deinem Freetz die libpcap schon gibt.

# ldd ./iplog
        libpthread.so.0 => /lib/libpthread.so.0 (0x2aabe000)
        [COLOR="red"]libpcap.so.1.1 => /usr/lib/freetz/libpcap.so.1.1[/COLOR] (0x2aae1000)
        libgcc_s.so.1 => /lib/libgcc_s.so.1 (0x2ab23000)
        libc.so.0 => /lib/libc.so.0 (0x2ab41000)
        ld-uClibc.so.0 => /lib/ld-uClibc.so.0 (0x2aaa8000)

EDIT 2:

Wie ist bei deinem Freetz die Ausgabe von:

# [B][COLOR="red"]find / -iname 'libpcap*'[/COLOR][/B]

auf deiner Box?

EDIT 3:
Versuch mal mit dem Patch aus dem Anhang, nach dem Patchen, ein make iplog-precompiled.

 

[duffy6]

Ähm....hüstel....was sind mk-Dateien und was mach ich damit?


Freetz spuckt folgendes aus:

zu edit2:

/var/lib/dpkg/info/libpcap0.8.shlibs
/var/lib/dpkg/info/libpcap0.8.md5sums
/var/lib/dpkg/info/libpcap0.8.postrm
/var/lib/dpkg/info/libpcap0.8.list
/var/lib/dpkg/info/libpcap0.8.postinst
/usr/share/doc/libpcap0.8
/usr/lib/libpcap.so.1.0.0
/usr/lib/libpcap.so.0.8
/home/freetz/freetz-stable-1.2/make/libs/.svn/text-base/libpcap.mk.svn-base
/home/freetz/freetz-stable-1.2/make/libs/libpcap.mk

 

[sf3978]

Du musst nichts in der mk-Datei machen Einfach den Patch aus Beitrag #17-Anhang (siehe dort EDIT 3) downloaden, Patchen (patch -p0 < iplog_stable_090711.patch.txt) in dem Wurzel-Verzeichnis deines Freetz-Build-System, make iplog-precompiled ausführen und hier über das Ergebnis berichten. Und dann schauen wir weiter.;-)

 

[duffy6]

Ok, hab das mal eingetippt und glaube das ist ohne fehler durchgelaufen (vgl. screenshot). Copy&Paste mit Virtualbox klappt wohl nicht.
Wie gehts dann weiter? make?