Suche Tool/Dienst zum Protokollieren von Port zugriffen

[NacKteOmA]

Kennt jemand einen Dienst, ein Tool was auch immer. Das in einer Log Protokoliert, welche IP auf welchen Port zugegriffen hat. Vielleicht auch Ports die nicht "exestieren" bzw. die nicht belegt sind. Meinet wegen Port 41932 ist bei mir nicht belegt. Möchte aber auch davon gern ne Protokolierung ob eine IP versucht hat auf diesen Port zuzugreifen (falls sowas überhaupt möglich ist). Wäre auch nicht schlecht wenn ein Zeitstempel in der Log erstellt wird, wann das war.

Ich möchte z.B. damit einfach mal gucken ob es Leute gibt die versuchen meinen SSH Port zu finden und ähnliches. (Ja ich weiß ich werde vermutlich auch haufenweise, einfacher Portscanns dadurch sehen). Ich sehe da für mich Persönlich schon ein paar möglichkeiten etwas herrauszufinden wie ich meinen Server noch sicherer machen kann, auch wenns vermutlich etwas Zeitintensiv ist.

Ist sowas vielleicht auch durch die Iptables möglich?

Kennt jemand eine möglichkeit?

 

[Firewire2002]

Mit IPTables lassen sich Logs erzeugen. Google hätte dazu auch Massenweise Ergebnisse gebracht.
Aller wieviel Stunden willst du den Kram denn auswerten? Dir ist schon klar, dass die Logs wirklich groß werden?

 

[NacKteOmA]

Naja im Grunde läuft auf genau diesen Server nicht viel drauf. Nicht mal ein Webserver oder ähnliches. Nur ein paar Dienste die ich für mich nutze und die doch recht ist. Das natürlich jede IP trotzdem immer oft angesprochen wird (diverse Portscans und ähnliches).

Aber gucken möchte ich da trotzdem schon mal.

Bzw. ist es bei den IPtables auch möglich dieses vielleicht auch einfach nur auf bestimmte Ports zu legen. Sprich ich möchte nur das z.B. Port 1,2,3,4,5 geloggt wird?

Achja grad mal gegoogelt, so richtig was gefunden habe ich nicht.

 

[wstuermer]

Hi,

Honeypot IP Tables Konfiguration

Als Statistik-Liebhaber hab ich mich mal durch Huschi's Artikel (Portscan-Honeypot mit iptables - huschi.net) inspirieren lassen. :) Honeypot auf Port 22,23,135 mit einer Sperre für 8 Stunden und einer Erhöhung der ip_list_tot auf 1000 (Anzahl der Einträge in der Liste für das recent Modul)...

serversupportforum.de

da hatten wir sowas ähnliches schonmal


-W

 

[Firewire2002]

Achja grad mal gegoogelt, so richtig was gefunden habe ich nicht.

Welches von den 1.600.000 Suchergebnissen gefällt dir denn nicht?
http://www.google.de/search?hl=de&q=iptables+logging&btnG=Suche&meta=

Alternativ auch "log" statt "logging". Zig tausende Texte die Beschreiben was dahinter steckt, wie es funktioniert und Beispiele geben.

 

[Whistler]

Ich lasse per tcpdump Zugriffe auf unbelegte Ports protokollieren (geantwortet wird natürlich nicht ). Die Datei wird auch nicht größer als ein iptables-Log und enthält die kompletten Nettodaten - zudem kann tcpdump die Logdatei rotieren.

 

[NacKteOmA]

So ich hab mich einwenig umgeschaut. Meine kleine Kette sieht z.b. momentan so aus.

iptables -N log-drop
iptables -A log-drop -j LOG
iptables -A INPUT -p udp --dport 9900 -j log-drop
iptables -A log-drop -j DROP

Dieses ist unteranderem nur ein test für mich um den Logikaufbau der iptables zu verstehen.

Was soll passieren? Ein Paket auf Port9900 kommt über "UDP", soll dann geloggt werden und danach verworfen (geblockt) werden.

Ergebniss: Port9900 wird geblockt, aber nicht geloggt (zumindest nicht in var/log/messages - habe Debian ETCH)

Kann mir jemand helfen?

 

[NacKteOmA]

Entschuldigt, mag mir keiner weiterhelfen?