Статьи Галерея Форум Чат Файлы HowTo Ссылки Поиск
Текущее время: 18 окт 2019, 16:01




Начать новую тему Ответить на тему  [ Сообщений: 5 ] 
Автор Сообщение
СообщениеДобавлено: 08 июл 2009, 23:03 
Заглянувший
Аватара пользователя

У нас с: 07.03.2004
Сообщения: 28
Всем привет. Есть проблемка - хочется логгировать начало и окончание vpn сессии, проходящей транзитом через роутер.
С началом - вроде проблем нет:
Код:
iptables -t nat -A POSTROUTING -s 10.222.1.0/24 -d $VPNSRV -p tcp --dport 1723 -m state --state NEW -j LOG \
--log-prefix "NEW session vpn:"


А вот с окончанием:
Код:
iptables -t nat -A POSTROUTING -s 10.222.1.0/24 -d $VPNSRV -p tcp --dport 1723 -m tcp --tcp-flags \
ACK,FIN ACK,FIN -j LOG --log-prefix "END session vpn:"


Теоретически - смотрим флаги, видим FIN + ACK - логгируем. На практике:

Код:
Jul  8 23:02:09 pandora [90505.231318] NEW session vpn:IN= OUT=eth1 SRC=10.222.1.21 DST=81.25.32.68 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=29413 DF PROTO=TCP SPT=5984 DPT=1723 WINDOW=65535 RES=0x00 SYN URGP=0
Jul  8 23:02:16 pandora [90512.617175] NEW session vpn:IN= OUT=eth1 SRC=10.222.1.21 DST=81.25.32.68 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=29436 DF PROTO=TCP SPT=5994 DPT=1723 WINDOW=65535 RES=0x00 SYN URGP=0

Начало видно, окончания - нет.
Есть какие-нибудь догадки? Я так понимаю, отследить окончание GRE сессии тяжелее будет?


Вернуться к началу
 Не в сети Профиль  
Ответить с цитатой  
СообщениеДобавлено: 09 июл 2009, 00:06 
Неотъемлемая часть форума

У нас с: 22.09.2004
Сообщения: 355
Откуда: Minsk
правила с --state ESTABLISHED c ACCEPT
перед --tcp-flags ACK,FIN ACK,FIN случайно нету?


Вернуться к началу
 Не в сети Профиль  
Ответить с цитатой  
СообщениеДобавлено: 09 июл 2009, 00:17 
Заглянувший
Аватара пользователя

У нас с: 07.03.2004
Сообщения: 28
Hermit писал(а):
правила с --state ESTABLISHED c ACCEPT
перед --tcp-flags ACK,FIN ACK,FIN случайно нету?

самым первым идёт.. Из-за этого?

Код:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s $VPNSRV -p 47 -j ACCEPT
iptables -A INPUT -s 10.222.0.0/22 -p tcp --dport 1723 -j ACCEPT

#1 network
iptables -t nat -A POSTROUTING -s 10.222.1.0/24 -d $VPNSRV -p 47 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.222.1.0/24 -d $VPNSRV -p tcp --dport 1723 -m state --state NEW -j LOG \
--log-prefix "NEW session vpn:"
iptables -t nat -A POSTROUTING -s 10.222.1.0/24 -d $VPNSRV -p tcp --dport 1723 -m tcp --tcp-flags ACK,FIN ACK,FIN -j LOG \
--log-prefix "END session vpn:"
iptables -t nat -A POSTROUTING -s 10.222.1.0/24 -d $VPNSRV -p tcp --dport 1723 -j MASQUERADE


Вернуться к началу
 Не в сети Профиль  
Ответить с цитатой  
СообщениеДобавлено: 09 июл 2009, 08:12 
Неотъемлемая часть форума

У нас с: 22.09.2004
Сообщения: 355
Откуда: Minsk
Код:
ACCEPT target

As soon as the match specification for a packet has been fully satisfied, and we specify ACCEPT as the target, the rule is accepted and will not continue traversing the current chain or any other ones in the same table.


Вернуться к началу
 Не в сети Профиль  
Ответить с цитатой  
СообщениеДобавлено: 09 июл 2009, 23:20 
Заглянувший
Аватара пользователя

У нас с: 07.03.2004
Сообщения: 28
Hermit писал(а):
Код:
ACCEPT target

As soon as the match specification for a packet has been fully satisfied, and we specify ACCEPT as the target, the rule is accepted and will not continue traversing the current chain or any other ones in the same table.


спасибо, учтём! :)


Вернуться к началу
 Не в сети Профиль  
Ответить с цитатой  
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 5 ] 


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
[ All resources are available under GNU GPL ] [ Support ] [ Hosted by DataHata | MyCloud.by ] [ Powered by phpBB® Forum Software © phpBB Group ]

LVEE Winter LVEE Rambler's Top100