IP findet sich in /proc/net/ip_conntrack - sonst nirgends

J

JanJ

New Member
Hallo,

ich habe mal eine Verständnisfrage. Eine Ausgabe von cat /proc/net/ip_conntrack gibt u.a. folgende Zeilen aus auf meinem Ubuntu 8.04 / Plesk 9.2.2 Server:

Code: 
root@www:/var/log# cat /proc/net/ip_conntrack
tcp      6 239471 ESTABLISHED src=80.187.105.219 dst=MEINEIP sport=20528 dport=80 packets=2 bytes=116 src=MEINEIP dst=80.187.105.219 sport=80 dport=20528 packets=1 bytes=60 [ASSURED] mark=0 secmark=0 use=1
tcp      6 239471 ESTABLISHED src=80.187.105.219 dst=MEINEIP sport=20527 dport=80 packets=2 bytes=116 src=MEINEIP dst=80.187.105.219 sport=80 dport=20527 packets=1 bytes=60 [ASSURED] mark=0 secmark=0 use=1
tcp      6 239471 ESTABLISHED src=80.187.105.219 dst=MEINEIP sport=20525 dport=80 packets=2 bytes=116 src=MEINEIP dst=80.187.105.219 sport=80 dport=20525 packets=1 bytes=60 [ASSURED] mark=0 secmark=0 use=1
tcp      6 239890 ESTABLISHED src=80.187.105.219 dst=MEINEIP sport=24166 dport=80 packets=2 bytes=116 src=MEINEIP dst=80.187.105.219 sport=80 dport=24166 packets=1 bytes=60 [ASSURED] mark=0 secmark=0 use=1
tcp      6 239471 ESTABLISHED src=80.187.105.219 dst=MEINEIP sport=20524 dport=80 packets=2 bytes=116 src=MEINEIP dst=80.187.105.219 sport=80 dport=20524 packets=1 bytes=60 [ASSURED] mark=0 secmark=0 use=1
tcp      6 239471 ESTABLISHED src=80.187.105.219 dst=MEINEIP sport=20526 dport=80 packets=2 bytes=116 src=MEINEIP dst=80.187.105.219 sport=80 dport=20526 packets=1 bytes=60 [ASSURED] mark=0 secmark=0 use=1
Ich sehe also 6 Verbindungen zum HTTP-Port meines Servers von dieser IP.

Dann müsste ich doch auch in einem der Zugriffslogs des Apache diese IP wiederfinden und so rausfinden können, welche Website von dort aufgerufen wird, oder?

Leider finde ich werde was in den Logs unter /var/log/apache2/ noch in sämtlichen Logs der Domains unter /var/www/vhosts/DOMAIN/statistics/logs.

Wer kann mir das erklären? Oder kann mir sagen, ob ich ein apache log übersehen habe. Vielen Dank.

Grüße,
Jan
 
Die Einträge in /proc/net/ip_conntrack (und vermutlich auch `netstat -tpen`) bedeuten nur, dass eine TCP-Verbindung mit deinem System hergestellt wurde (ESTABLISHED). Der Apache httpd schreibt Logmeldungen allerdings erst, wenn ein HTTP-Request beendet wurde. Wie du an der Ausgabe siehst, wurde über die Verbindungen jeweils nur 1 Paket geschickt.
 
Danke für die schnelle Antwort.

Wunder mich dann mal weiterhin, warum jemand quasi den ganzen Tag 6 Verbindungen zum HTTP-Port offen hält, aber dann ja offensichtlich nichts abruft ...
 
You must log in or register to reply here.
Back
Top