Linux.by
https://forum.linux.by/

iptables логгирование окончания соединения
https://forum.linux.by/viewtopic.php?f=3&t=10400
Страница 1 из 1

Автор:  Bock [ 08 июл 2009, 23:03 ]
Заголовок сообщения:  iptables логгирование окончания соединения

Всем привет. Есть проблемка - хочется логгировать начало и окончание vpn сессии, проходящей транзитом через роутер.
С началом - вроде проблем нет:
Код:
iptables -t nat -A POSTROUTING -s 10.222.1.0/24 -d $VPNSRV -p tcp --dport 1723 -m state --state NEW -j LOG \
--log-prefix "NEW session vpn:"


А вот с окончанием:
Код:
iptables -t nat -A POSTROUTING -s 10.222.1.0/24 -d $VPNSRV -p tcp --dport 1723 -m tcp --tcp-flags \
ACK,FIN ACK,FIN -j LOG --log-prefix "END session vpn:"


Теоретически - смотрим флаги, видим FIN + ACK - логгируем. На практике:

Код:
Jul  8 23:02:09 pandora [90505.231318] NEW session vpn:IN= OUT=eth1 SRC=10.222.1.21 DST=81.25.32.68 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=29413 DF PROTO=TCP SPT=5984 DPT=1723 WINDOW=65535 RES=0x00 SYN URGP=0
Jul  8 23:02:16 pandora [90512.617175] NEW session vpn:IN= OUT=eth1 SRC=10.222.1.21 DST=81.25.32.68 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=29436 DF PROTO=TCP SPT=5994 DPT=1723 WINDOW=65535 RES=0x00 SYN URGP=0

Начало видно, окончания - нет.
Есть какие-нибудь догадки? Я так понимаю, отследить окончание GRE сессии тяжелее будет?

Автор:  Hermit [ 09 июл 2009, 00:06 ]
Заголовок сообщения:  Re: iptables логгирование окончания соединения

правила с --state ESTABLISHED c ACCEPT
перед --tcp-flags ACK,FIN ACK,FIN случайно нету?

Автор:  Bock [ 09 июл 2009, 00:17 ]
Заголовок сообщения:  Re: iptables логгирование окончания соединения

Hermit писал(а):
правила с --state ESTABLISHED c ACCEPT
перед --tcp-flags ACK,FIN ACK,FIN случайно нету?

самым первым идёт.. Из-за этого?

Код:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s $VPNSRV -p 47 -j ACCEPT
iptables -A INPUT -s 10.222.0.0/22 -p tcp --dport 1723 -j ACCEPT

#1 network
iptables -t nat -A POSTROUTING -s 10.222.1.0/24 -d $VPNSRV -p 47 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.222.1.0/24 -d $VPNSRV -p tcp --dport 1723 -m state --state NEW -j LOG \
--log-prefix "NEW session vpn:"
iptables -t nat -A POSTROUTING -s 10.222.1.0/24 -d $VPNSRV -p tcp --dport 1723 -m tcp --tcp-flags ACK,FIN ACK,FIN -j LOG \
--log-prefix "END session vpn:"
iptables -t nat -A POSTROUTING -s 10.222.1.0/24 -d $VPNSRV -p tcp --dport 1723 -j MASQUERADE

Автор:  Hermit [ 09 июл 2009, 08:12 ]
Заголовок сообщения:  Re: iptables логгирование окончания соединения

Код:
ACCEPT target

As soon as the match specification for a packet has been fully satisfied, and we specify ACCEPT as the target, the rule is accepted and will not continue traversing the current chain or any other ones in the same table.

Автор:  Bock [ 09 июл 2009, 23:20 ]
Заголовок сообщения:  Re: iptables логгирование окончания соединения

Hermit писал(а):
Код:
ACCEPT target

As soon as the match specification for a packet has been fully satisfied, and we specify ACCEPT as the target, the rule is accepted and will not continue traversing the current chain or any other ones in the same table.


спасибо, учтём! :)

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/