Portál AbcLinuxu, 8. května 2025 15:59

Dotaz: logovani MAC adres pri routingu?

8.8.2012 09:52 PepeONaChair | skóre: 4
logovani MAC adres pri routingu?
Přečteno: 280×
Odpovědět | Admin
Ahoj,

system: Debian Squeeze 64bit; funkce: gateway pro vetsi sit s NATem i routovanim verejnych IP adres;

Problem: Potrebuji zjistovat MAC adresy pocitacu na lokalni siti (vsechny dostupne na L2) z logu, ktere vygeneruji zaznam v /var/log/messages (nebo koneckoncu pripadne kdekoliv jinde) protoze provadeji napr. SYN FLOOD utoky. Podle mych pozorovani jsou MAC adresy logovany jen v pripade, ze je utok smerovany na tu gateway a tam konci (tj. v logu je "pole" MAC=...). Pokud ma utok projit skrz router, MAC adresy se neloguji (v tomhle pripade si pomaham tdpdumpem)

Otazka: Jak lze donutit system, aby logoval MAC adresy i v pripade, ze utoky serverem prochazi?

Diky Pep. PS: Neco jako snort (a zrejme prave snort) budu v nejblizsi dobe nasazovat, ale tohle je pro me zatim rychle osetreni aktualniho bolesti.

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

8.8.2012 10:41 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: logovani MAC adres pri routingu?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Prihod si do firewallu iptables pravidlo s necim jako -p tcp --syn -m limit --limit 100/second --limit-burst 150 -j LOG
8.8.2012 11:03 PepeONaChair | skóre: 4
Rozbalit Rozbalit vše Re: logovani MAC adres pri routingu?
Ahoj, jestli tomu dobre rozumim, tim pridavkem zapnu logovani pokud bude prekroceny ten --limit

Toto uz ale mam a logovani mi funguje. Problemem ale je, ze se takto do logu nezaznamenavaji MAC adresy v pripade, ze se jedna o traffic prochazejici skrz router. V logu pak uplne chybi pole jako napr. "MAC=00:78:90:3b:7b:9b:00:89:2f:3c:2a:0e:08:00". Je mozne nekde konfigurovat format, v jakem se logy zapisuji?
8.8.2012 11:24 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: logovani MAC adres pri routingu?
myslis --log level ? 

--log level
           Log determined genres into dmesg even if  they  do  not  match  the
           desired one.  level can be one of the following values:

       ·   0 - Log all matched or unknown signatures

       ·   1 - Log only the first one

       ·   2 - Log all known matched signatures
8.8.2012 11:28 hermelin | skóre: 21
Rozbalit Rozbalit vše Re: logovani MAC adres pri routingu?
Resp. 
  --log-level level
              Level of logging (numeric or see syslog.conf(5)).
8.8.2012 13:37 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: logovani MAC adres pri routingu?
A kde mas to pravidlo povesene?
Hadam, ze MAC muzes logovat jenom v INPUT nebo PREROUTING.
8.8.2012 17:12 Ivan
Rozbalit Rozbalit vše Re: logovani MAC adres pri routingu?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Ne ze bych mel neco proti Linuxu - to vubec ne - ale nebylo by lepsi pro takovouhle vec koupit na eBay nejaky starsi PIX? PS: Na logovani traficu se pouziva netflow.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.