Questo è il comando natlog che può essere eseguito nel provider di hosting gratuito OnWorks utilizzando una delle nostre molteplici workstation online gratuite come Ubuntu Online, Fedora Online, emulatore online Windows o emulatore online MAC OS
PROGRAMMA:
NOME
natlog - strumento di registrazione source-nat
SINOSSI
natlog [Opzioni] command
DESCRIZIONE
Firewall come iptables(1) di solito offerta POSTROUTING (traduzione dell'indirizzo di rete di origine,
snat) strutture che cambiano l'indirizzo di origine di un host dietro il firewall nell'indirizzo
dell'host prima del firewall. Insieme a strappare le seguenti combinazioni di indirizzi IP e
vengono rilevati i numeri di porta:
o l'indirizzo IP e il numero di porta utilizzati dall'host dietro il firewall (in questo manuale
pagina indicata come IPSRC, sport);
o l'indirizzo IP e il numero di porta dell'host IPsrc si connette a (in questa pagina di manuale
denominato IPdst, dport);
o l'indirizzo IP e il numero di porta utilizzati dall'host del firewall durante la creazione della sorgente
IPsrc e sport (in questa pagina di manuale indicata come IPfw, fwport).
Il natting alla fonte di solito usa sport per fwport, ma fwport potrebbe essere già in uso, in cui
caso in cui l'host del firewall debba utilizzare un'altra porta disponibile per inoltrare la comunicazione da
IPSRC, sport a IPdst, dport.
Lo schema generale che si applica al source natting, quindi, assomiglia a questo:
IPsrc:sport viene tradotto dal firewall in IPfw:fwport;
IPfw:fwport viene utilizzato durante la comunicazione con IPdst:dport.
Dal punto di vista dell'host di destinazione, la comunicazione ha origine a IPfw::fwport
e di conseguenza tutte le comunicazioni (es. report di incidente) inviate dai sistemi
amministratore che mantiene IPdst a IPfwl'amministratore di sistema farà riferimento a IPfw:portafw,
piuttosto che a IPsrc::sport.
Le strutture di registro standard fornite da iptables non ci permettono facilmente di relazionarci
IPfw:portafw a IPsrc: sporte natlog è stato sviluppato per riempire quella nicchia particolare.
Durante la corsa natlog, i messaggi vengono inviati al demone syslog (ad es. rsyslogd(1)) e/o il
flusso di output standard che mostra le caratteristiche essenziali della connessione utilizzando
origine nat. Ecco un esempio:
NATLOG: (TCP) Da 1338990672:55588 fino a 1338990747:807100:
192.168.19.72:4467 (tramite: 129.125.90.132:4467) a 200.49.219.180:443
In questo esempio i valori 1338990672:55588 e 1338990747:807100 rappresentano i timestamp
che mostra i tempi di inizio e fine in secondi: microsecondi di una connessione TCP dal 1 gennaio,
1970, 0:00 UTC. Registro nazionale crea un --appuntamento opzione, con conseguente rappresentazioni temporali
piace novembre 2 13:29:11 piuttosto che rappresentazioni temporali che utilizzano secondi e microsecondi.
Il valore successivo (192.168.19.72:4467) rappresenta IPsrc::sport. Questo è seguito da
129.125.90.132:4467, che rappresentano IPfw:portafw. La terza coppia di valori
(200.49.219.180:443) rappresenta IPdst:dporta.
In questo esempio, host 192.168.19.72, usando la porta 4467, connesso all'host 200.49.219.180,
porto 443. A quest'ultimo host la connessione sembrava aver avuto origine da
129.125.90.132 porto 4467. Il messaggio di registro fornito ci consente facilmente di correlarlo al
host "reale" e porta da cui ha avuto origine la connessione: 192.168.19.72:4467.
Quando natlog termina natlog non può più tenere traccia delle connessioni ancora aperte. Se
natlog è stato terminato da a TERMINE segnale, quindi invia una linea di "terminazione" a syslog,
seguita da una panoramica di tutte le connessioni ancora aperte. I valori in microsecondi finali di
le connessioni non più tracciate vengono visualizzate come 0000.
COMANDI
o conntrack: questo comando può essere utilizzato solo su piattaforme che utilizzano iptables(1) su cui
conntrack(1) è stato installato anche. Informazioni sulle connessioni natted source
è ottenuto da conntrack(1) l'output. Con questo comando TCP, UDP e ICMP
è possibile monitorare i protocolli di livello quattro (per impostazione predefinita viene monitorato il protocollo TCP).
Vedi anche il conntrack-comando opzione.
o dispositivo dispositivo esterno: dispositivo è il nome del dispositivo dietro il firewall.
Indirizzi che vivono dietro il dispositivo sono nati all'origine dell'indirizzo IP del firewall
quando passato al dispositivo esterno; dispositivo esterno è il nome del dispositivo a cui
i pacchetti nati dalla sorgente vengono inoltrati, cq da dove le risposte per il nativo
padroni di casa che vivono dietro dispositivo sono ricevuti. Attualmente, questo comando è solo
disponibile per il monitoraggio delle connessioni TCP.
VERSIONI
o --config=config-percorso (-c)
L'argomento config-percorso definisce il percorso del file di configurazione da utilizzare
natlog. Per impostazione predefinita il file di configurazione è previsto in /etc/natlog.conf. Tutti
le opzioni di configurazione hanno valori predefiniti, che vengono utilizzati quando nessun file di configurazione e
non sono fornite opzioni della riga di comando.
Tutte le opzioni, tranne configurazione, Aiuto e verboso può essere specificato anche nel
file di configurazione. Il file di configurazione ignora le righe vuote e tutte le informazioni
sulle righe che iniziano con un cancelletto (#). Nei nomi delle opzioni del file di configurazione fare
non utilizzare trattini iniziali e può essere immediatamente seguito da due punti. Multi parola
gli argomenti non devono essere racchiusi tra virgolette. Esempi:
stdout
syslog-facilità: LOCAL0
Le opzioni della riga di comando sovrascrivono le opzioni del file di configurazione.
o --conntrack-comando=sentiero [opzioni]
Il percorso e le opzioni per il conntrack(1) programma. Per impostazione predefinita questo è
/usr/sbin/conntrack -p tcp -E -n -o timestamp -e NUOVO, DISTRUGGERE, con il risultato di:
- Monitoraggio del protocollo TCP di livello quattro;
- Visualizzazione dei registri degli eventi in tempo reale (-E);
- Visualizzazione timestamp (-o timestamp);
- Registrazione di tutti gli eventi nuovi e distrutti (terminati) (-e NUOVO, DISTRUGGERE);
I protocolli da monitorare possono essere configurati separatamente utilizzando il --protocollo opzione.
Il Marketplace per le conntrack il programma deve essere disponibile al momento della richiesta natlog'S conntrack comando.
I protocolli di livello quattro diversi da TCP, UDP e ICMP non sono attualmente supportati. UN
è possibile richiedere un sottoinsieme dei protocolli supportati utilizzando conntrack's -p TCP, -p udp
or -p icmp opzioni.
o --conntrack-restart=max
Se il processo conntrack termina prematuramente, viene riavviato al massimo max volte (queste
sono puri riavvio: l'avvio iniziale di conntrack non viene conteggiato per questa opzione). Di
sono consentiti 10 riavvii predefiniti.
o --Aiuto (-h)
Scrivere le informazioni sull'utilizzo di base nel flusso di output standard e terminare.
o --no-demone
Per impostazione predefinita, natlog viene eseguito in background (un demone). Registro nazionale funziona come un normale
programma (cioè in primo piano quando l'opzione nessun demone è fornito). quando
correndo come un demone, --stdout (vedi sotto) è soppresso, e --verboso messaggi
(vedi sotto) vengono inviati al demone sylog, a meno che --no-syslog è stato specificato.
o --no-syslog
Di default natlog scrive messaggi syslog nel DEMONE struttura con priorità
AVVISO. Nessun messaggio viene inviato al demone syslog quando questa opzione è specificata.
o --file-pid=sentiero (-p)
Quando natlog corre in sottofondo, quindi sentiero è il nome del percorso del file
che contiene l'id di processo del demone. Per impostazione predefinita questo è /esegui/natlog.pid. Per finire il
demone, invia un segnale SIGTERM all'id del processo menzionato nel file pid. Registro nazionale
ignora SIGILLO segnala (ma scrive un messaggio di log se a SIGILLO l'interruzione è
ricevuto).
o --protocollo=specificazione (-P)
I protocolli da monitorare conntrack(1). Per impostazione predefinita conntrack-comando monitora il
Protocollo TCP di livello quattro. Attualmente natlog's conntrack comando può monitorare il TCP,
Protocolli UDP e ICMP di livello quattro. Usando il protocollo opzione (nota: singolare!)
qualsiasi sottoinsieme di questi protocolli può essere selezionato specificando un separato da due punti
sottoinsieme di TCP, UDP e ICMP (ad es. --protocollo udp: TCP). La specifica contro tutti i può
essere utilizzato per monitorare tutti e tre i protocolli: TCP, UDP e ICMP.
Se l' conntrack-comando l'opzione è specificata, il protocollo l'opzione viene ignorata.
o --stdout (-s)
I messaggi equivalenti a Syslog vengono inviati allo standard output. Questa opzione è implicita
by --verboso, ma viene soppresso quando natlog funziona come un demone..
o --syslog-facilità=facilità
La funzione utilizzata per scrivere i messaggi syslog. Per impostazione predefinita questo è
DEMONE. Per una panoramica delle strutture e dei loro significati, vedere, ad es., syslog(3).
Con natlog le strutture DEMONE, LOCALE0, LOCALE1, LOCALE2, LOCALE3, LOCALE4, LOCALE5,
LOCALE6, LOCALE7e UTENTE può essere utilizzato.
o --syslog-priorità=priorità
La priorità utilizzata per scrivere i messaggi syslog. Per impostazione predefinita questo è
AVVISO. Per una panoramica delle priorità e dei loro significati, vedere, ad es., syslog(3).
Con natlog tutte le priorità definite possono essere utilizzate. Per esempio, EMERGENZA, METTERE IN GUARDIA, CRITICA, ERRORE,
AVVERTIMENTO, AVVISO, INFO e DEBUG.
o --syslog-tag=etichetta
Quando vengono generati messaggi syslog, possono essere forniti con a etichetta, quale può essere
utilizzato per filtrare natlogi messaggi di syslog dai file di log. Di default il tag
NATLOG viene utilizzato. Vedi anche la sezione RSYSLOG FILTRO qua sotto.
o --tempo=spec (-t)
Per impostazione predefinita, i timestamp scritti da natlog sono in forma grezza, numerica. Per esempio,
NATLOG: Da 1338990672:55588 fino a 1338990747:807100
Questi timestamp indicano i tempi in secondi:microsecondi dall'inizio del
epoca, 1 gennaio 1970, 0:00 UTC. Questa opzione può essere utilizzata per modificare i secondi
parte dei timestamp a rappresentazioni più convenzionali.
Specificare crudo (il valore predefinito) per la rappresentazione predefinita in secondi dal
epoca;
specificare ecc per una rappresentazione come Jun 6 13:29:11, utilizzando il Tempo Universale
coordinato;
specificare locale per una rappresentazione come Jun 6 13:29:11, utilizzando il fuso orario locale
definito dal computer in esecuzione natlog.
o --verboso
Ulteriori messaggi su natlogle modalità di funzionamento sono inviate allo standard
flusso di uscita. quando natlog viene eseguito come demone questi messaggi vengono inviati al syslog
demone, a meno che --no-syslog è stato specificato.
o --versione (-v)
Scrivi natlog's il numero di versione nel flusso di output standard e terminare.
o --avvisare (-w)
Avvisa di terminare le connessioni non ancora registrate in natlogdatabase di. Questo
normalmente si verifica solo per un breve periodo dopo l'avvio natlog, quando esistente
le connessioni non sono ancora state notate.
RSYSLOG FILTRO
Quando si usa rsyslogd(1) i filtri basati sulle proprietà possono essere usati per filtrare i messaggi syslog e
scrivili in un file a tua scelta. Ad esempio, per filtrare i messaggi che iniziano con syslog
tag del messaggio (ad es. NATLOG) uso
:syslogtag, isequal, "NATLOG:" /var/log/natlog.log
:syslogtag, isequal, "NATLOG:" stop
Nota che i due punti fanno parte del tag, ma non sono specificati con tag-syslog opzione.
Questo fa sì che tutti i messaggi abbiano il NATLOGO: tag su cui scrivere /var/log/natlog.log dopo
che vengono scartati. È supportato anche un filtro più ampio, vedere, ad es.,
http://www.rsyslog.com/doc/rsyslog_conf_filter.html e
http://www.rsyslog.com/doc/property_replacer.html
ESEMPI
Esempi di natlog attivazioni:
o natlog --no-demone --no-syslog -s tun0 eth0
Registro nazionale rimane attivo come processo in primo piano, non vengono scritti messaggi syslog,
messaggi equivalenti a syslog vengono scritti nell'output standard. Registro nazionale usa il pcap
libreria per acquisire pacchetti dal tun0 dispositivo (ad es openvpn(1) dispositivo), che
è attivo dietro il firewall e per catturare i pacchetti dal eth0 dispositivo, che
è il dispositivo a cui vengono inviati i pacchetti nati dalla fonte.
o natlog conntrack
A seconda delle opzioni specificate in /etc/natlog.conf (o, se non disponibile,
natlogle opzioni predefinite di) le connessioni basate sulla sorgente sono ottenute da conntrack(1).
Di default natlog continua come un processo demone, generando messaggi syslog usando
tag syslog NATLOGO:e contenente informazioni sulle connessioni con origine.
Qui è natlogil file di configurazione predefinito di. Righe vuote e righe che iniziano con
i segni di cancelletto (#) vengono ignorati. Le opzioni aderiscono alla seguente sintassi:
valore dell'opzione
Opzione e valore sono separati da uno spazio bianco, i due punti possono essere aggiunti ai nomi delle opzioni,
e i valori delle opzioni possono essere composti da più parole.
# Questo file di configurazione mostra i valori delle opzioni predefinite.
# tutte le opzioni e i valori fanno distinzione tra maiuscole e minuscole
# vedere `man natlog' per ulteriori dettagli
# il percorso e le opzioni del programma conntrack:
# quando non sono specificate opzioni di filtro, il tcp
# protocollo è monitorato
# viene mostrato il comando predefinito:
#conntrack-command: /usr/sbin/conntrack -p tcp -E -n -o timestamp -e NEW,DESTROY"
# i protocolli che vengono scansionati con il comando 'conntrack':
# protocollo: all - monitora tcp, udp, icmp
# protocol: udp:tcp - controlla upd e tcp (qualsiasi sottoinsieme non vuoto,
# possibilmente includere icmp è OK)
# ignorato quando viene specificato il comando conntrack
#protocollo: tcp
# il tag syslog predefinito:
Tag #syslog: NATLOG
# la funzione syslog predefinita:
#syslog-facilità: DAEMON
# la priorità predefinita del syslog:
#syslog-priority: AVVISO
# la specifica del tempo:
#tempo: crudo
# il percorso del file pid del processo demone di natlog
#file-pid: /var/natlog.pid
# fine del file di configurazione
Usa natlog online utilizzando i servizi onworks.net
