forum.opennet.ru - "ipfw писать в лог только новые коннекты UDP" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ipfw писать в лог только новые коннекты UDP"

Форум Информационная безопасность (BSD ipfw, ipf, ip-filter)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ipfw писать в лог только новые коннекты UDP"	+/–
Сообщение от _KUL (ok) on 12-Сен-13, 16:05
Приветствую. Использую ipfw (точнее wipfw под 2008 форточкой), нужно писать в лог коннекты по определённому UDP порту. Если использовать это: add count log udp from any to хх.хх.хх.хх 27122 То файлик логов за пару минут разрастается до десятков мегабайт. Можно ли как то писать допустим только 1 запись в лог, с датой первого вхождения пакета от одного ипа за последнюю минуту или 10 минут например? (т.е. важен факт, что да, пакет с ипа был во столько то, но не важно что их за минуту или 10 прошло тысяча. ип важен.)
Ответить \| Правка \| Cообщить модератору

Оглавление

ipfw писать в лог только новые коннекты UDP, михалыч, 17:41 , 12-Сен-13, (1)

ipfw писать в лог только новые коннекты UDP, _KUL, 14:32 , 18-Сен-13, (2)

ipfw писать в лог только новые коннекты UDP, vijem0, 20:06 , 24-Сен-13, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "ipfw писать в лог только новые коннекты UDP" +/–

Сообщение от михалыч (ok) on 12-Сен-13, 17:41

>[оверквотинг удален]
> Использую ipfw (точнее wipfw под 2008 форточкой), нужно писать в лог коннекты
> по определённому UDP порту.
> Если использовать это:
> add count log udp from any to хх.хх.хх.хх 27122
> То файлик логов за пару минут разрастается до десятков мегабайт.
> Можно ли как то писать допустим только 1 запись в лог, с
> датой первого вхождения пакета от одного ипа за последнюю минуту или
> 10 минут например? (т.е. важен факт, что да, пакет с ипа
> был во столько то, но не важно что их за минуту
> или 10 прошло тысяча. ип важен.)
RTFM (Read The Fucking Manual - прочтите эту грёбанную инструкцию)
Друк! Иногда, полезно читать документацию!
http://wipfw.sourceforge.net/doc-ru.html#rformat
и чуть ниже
Цитата:
log [logamount количество]
  Если пакет соответствует правилу с ключевым словом log,
  сообщение будет записано в файл windows\security\logs\wipfwYYYYMMDD.log.
  Как только предел достигнут, регистрацию можно опять возобновить, очистив
  счетчик регистрации или счетчик пакетов для того правила, см. команду resetlog.
Получается типа так:
ipfw add 1 allow log logamount 1 udp from x.x.x.x to me

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ipfw писать в лог только новые коннекты UDP" +/–

Сообщение от _KUL (ok) on 18-Сен-13, 14:32

> Получается типа так:
> ipfw add 1 allow log logamount 1 udp from x.x.x.x to me
Да нет, так не получится! Точнее получится не то, что нужно.
ipfw add 1 allow log logamount 1 udp from any to any
В лог записывается строчка с ипом входящим только 1 раз, т.к. собственно все остальные запросы будут совпадать с правилом. А мне нужно каждый новый коннект писать.
Получается нужно взять всю базу с райпа и вбить весь интернет в from с 1.0.0.1 до 255.255.255.254 ?
ну или фром ани и 65536 вариаций портов от исходящих компов ... хотя опять не вариант, т.к. если на клиентах совпадут исходящие порты, то запись всё равно будет одна ...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ipfw писать в лог только новые коннекты UDP" +/–

Сообщение от vijem0 (ok) on 24-Сен-13, 20:06

>[оверквотинг удален]
> Использую ipfw (точнее wipfw под 2008 форточкой), нужно писать в лог коннекты
> по определённому UDP порту.
> Если использовать это:
> add count log udp from any to хх.хх.хх.хх 27122
> То файлик логов за пару минут разрастается до десятков мегабайт.
> Можно ли как то писать допустим только 1 запись в лог, с
> датой первого вхождения пакета от одного ипа за последнюю минуту или
> 10 минут например? (т.е. важен факт, что да, пакет с ипа
> был во столько то, но не важно что их за минуту
> или 10 прошло тысяча. ип важен.)
Как-то тоже задавался этим вопросом... ответа так и не нашел. В линуксовом netfilter все четко. А в ipfw через жопу.
Как вариант - это можно реализовать логируя только запросы на соединение. То есть пакеты с флагом SYN. Но как в этом гребаном ipfw сделать чтобы только syn в лог уходило - хз.
Как вариант:
....
ipfw add 201 skipto 202 log udp from any to me 27122 setup
ipfw add 202 allow udp from any to me 27122 keep-state
если skipto и log можно вместе зацепить, то будет работать имхо

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw писать в лог только новые коннекты UDP"	+/–
Сообщение от михалыч (ok) on 12-Сен-13, 17:41
>[оверквотинг удален] > Использую ipfw (точнее wipfw под 2008 форточкой), нужно писать в лог коннекты > по определённому UDP порту. > Если использовать это: > add count log udp from any to хх.хх.хх.хх 27122 > То файлик логов за пару минут разрастается до десятков мегабайт. > Можно ли как то писать допустим только 1 запись в лог, с > датой первого вхождения пакета от одного ипа за последнюю минуту или > 10 минут например? (т.е. важен факт, что да, пакет с ипа > был во столько то, но не важно что их за минуту > или 10 прошло тысяча. ип важен.) RTFM (Read The Fucking Manual - прочтите эту грёбанную инструкцию) Друк! Иногда, полезно читать документацию! http://wipfw.sourceforge.net/doc-ru.html#rformat и чуть ниже Цитата: log [logamount количество] Если пакет соответствует правилу с ключевым словом log, сообщение будет записано в файл windows\security\logs\wipfwYYYYMMDD.log. Как только предел достигнут, регистрацию можно опять возобновить, очистив счетчик регистрации или счетчик пакетов для того правила, см. команду resetlog. Получается типа так: ipfw add 1 allow log logamount 1 udp from x.x.x.x to me
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "ipfw писать в лог только новые коннекты UDP"	+/–
	Сообщение от _KUL (ok) on 18-Сен-13, 14:32
	> Получается типа так: > ipfw add 1 allow log logamount 1 udp from x.x.x.x to me Да нет, так не получится! Точнее получится не то, что нужно. ipfw add 1 allow log logamount 1 udp from any to any В лог записывается строчка с ипом входящим только 1 раз, т.к. собственно все остальные запросы будут совпадать с правилом. А мне нужно каждый новый коннект писать. Получается нужно взять всю базу с райпа и вбить весь интернет в from с 1.0.0.1 до 255.255.255.254 ? ну или фром ани и 65536 вариаций портов от исходящих компов ... хотя опять не вариант, т.к. если на клиентах совпадут исходящие порты, то запись всё равно будет одна ...
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

3. "ipfw писать в лог только новые коннекты UDP"	+/–
Сообщение от vijem0 (ok) on 24-Сен-13, 20:06
>[оверквотинг удален] > Использую ipfw (точнее wipfw под 2008 форточкой), нужно писать в лог коннекты > по определённому UDP порту. > Если использовать это: > add count log udp from any to хх.хх.хх.хх 27122 > То файлик логов за пару минут разрастается до десятков мегабайт. > Можно ли как то писать допустим только 1 запись в лог, с > датой первого вхождения пакета от одного ипа за последнюю минуту или > 10 минут например? (т.е. важен факт, что да, пакет с ипа > был во столько то, но не важно что их за минуту > или 10 прошло тысяча. ип важен.) Как-то тоже задавался этим вопросом... ответа так и не нашел. В линуксовом netfilter все четко. А в ipfw через жопу. Как вариант - это можно реализовать логируя только запросы на соединение. То есть пакеты с флагом SYN. Но как в этом гребаном ipfw сделать чтобы только syn в лог уходило - хз. Как вариант: .... ipfw add 201 skipto 202 log udp from any to me 27122 setup ipfw add 202 allow udp from any to me 27122 keep-state если skipto и log можно вместе зацепить, то будет работать имхо
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору