 ipfw писать в лог только новые коннекты UDP,  _KUL, 12-Сен-13, 16:05 [смотреть все]Приветствую.
Использую ipfw (точнее wipfw под 2008 форточкой), нужно писать в лог коннекты по определённому UDP порту.
Если использовать это:
add count log udp from any to хх.хх.хх.хх 27122
То файлик логов за пару минут разрастается до десятков мегабайт.
Можно ли как то писать допустим только 1 запись в лог, с датой первого вхождения пакета от одного ипа за последнюю минуту или 10 минут например? (т.е. важен факт, что да, пакет с ипа был во столько то, но не важно что их за минуту или 10 прошло тысяча. ип важен.)
|
- ipfw писать в лог только новые коннекты UDP, михалыч, 17:41 , 12-Сен-13 (1)
>[оверквотинг удален]
> Использую ipfw (точнее wipfw под 2008 форточкой), нужно писать в лог коннекты
> по определённому UDP порту.
> Если использовать это:
> add count log udp from any to хх.хх.хх.хх 27122
> То файлик логов за пару минут разрастается до десятков мегабайт.
> Можно ли как то писать допустим только 1 запись в лог, с
> датой первого вхождения пакета от одного ипа за последнюю минуту или
> 10 минут например? (т.е. важен факт, что да, пакет с ипа
> был во столько то, но не важно что их за минуту
> или 10 прошло тысяча. ип важен.) RTFM (Read The Fucking Manual - прочтите эту грёбанную инструкцию)
Друк! Иногда, полезно читать документацию! http://wipfw.sourceforge.net/doc-ru.html#rformat
и чуть ниже
Цитата:
log [logamount количество]
Если пакет соответствует правилу с ключевым словом log,
сообщение будет записано в файл windows\security\logs\wipfwYYYYMMDD.log.
Как только предел достигнут, регистрацию можно опять возобновить, очистив
счетчик регистрации или счетчик пакетов для того правила, см. команду resetlog. Получается типа так:
ipfw add 1 allow log logamount 1 udp from x.x.x.x to me
- ipfw писать в лог только новые коннекты UDP, _KUL, 14:32 , 18-Сен-13 (2)
> Получается типа так:
> ipfw add 1 allow log logamount 1 udp from x.x.x.x to me Да нет, так не получится! Точнее получится не то, что нужно.
ipfw add 1 allow log logamount 1 udp from any to any
В лог записывается строчка с ипом входящим только 1 раз, т.к. собственно все остальные запросы будут совпадать с правилом. А мне нужно каждый новый коннект писать.
Получается нужно взять всю базу с райпа и вбить весь интернет в from с 1.0.0.1 до 255.255.255.254 ? ну или фром ани и 65536 вариаций портов от исходящих компов ... хотя опять не вариант, т.к. если на клиентах совпадут исходящие порты, то запись всё равно будет одна ...
- ipfw писать в лог только новые коннекты UDP, vijem0, 20:06 , 24-Сен-13 (3)
>[оверквотинг удален]
> Использую ipfw (точнее wipfw под 2008 форточкой), нужно писать в лог коннекты
> по определённому UDP порту.
> Если использовать это:
> add count log udp from any to хх.хх.хх.хх 27122
> То файлик логов за пару минут разрастается до десятков мегабайт.
> Можно ли как то писать допустим только 1 запись в лог, с
> датой первого вхождения пакета от одного ипа за последнюю минуту или
> 10 минут например? (т.е. важен факт, что да, пакет с ипа
> был во столько то, но не важно что их за минуту
> или 10 прошло тысяча. ип важен.) Как-то тоже задавался этим вопросом... ответа так и не нашел. В линуксовом netfilter все четко. А в ipfw через жопу. Как вариант - это можно реализовать логируя только запросы на соединение. То есть пакеты с флагом SYN. Но как в этом гребаном ipfw сделать чтобы только syn в лог уходило - хз. Как вариант:
....
ipfw add 201 skipto 202 log udp from any to me 27122 setup
ipfw add 202 allow udp from any to me 27122 keep-state если skipto и log можно вместе зацепить, то будет работать имхо
|
Версия для распечатки
