Как отслеживать и регистрировать попытки использования и назначения портов локального компьютера из шлюза Linux?

Question

Как отслеживать и регистрировать попытки использования и назначения портов локального компьютера из шлюза Linux?

У меня есть доступ к серверу Linux, который выступает в качестве шлюза для внутренней сети.

Существует устройство MagicJack Plus, подключенное к этой сети через CAT5.

MagicJack получает свой IP через DHCP с сервера linux, и я определил, какой IP-адрес ему выдан.

Я настроил этот ip, но я не смог обнаружить никаких открытых портов на устройстве MagicJack Plus.

Мне интересно, как он взаимодействует, особенно какие порты он использует. Я хотел бы отслеживать, какие порты он использует в течение 24 часов. Мне было бы очень интересно узнать, пытается ли он связаться с любыми другими компьютерами, которые ему не нужны (в локальной сети).

В конечном счете, я хочу заблокировать это устройство, чтобы оно имело доступ только к тому, что ему нужно, и ничего более.

Сервер linux имеет только графический интерфейс и командную строку веб-приложения. Как я могу отслеживать и регистрировать сетевую активность "IP-адреса этого устройства", чтобы определить, какие порты он фактически использует, к чему он пытается получить доступ и какую полосу пропускания он использует?

2

linux network-monitoring bandwidth-measuring sniffing

Источник

LonnieBest 18 авг '12 в 09:17

1 ответ

Решение

Другие вопросы по тегам linux network-monitoring bandwidth-measuring sniffing

Ihor Kaharlichenko 18 авг '12 в 09:44 2012-08-18 09:44 · Accepted Answer · 2012-08-18 09:44

Чтобы получить весь трафик, который генерирует ваше устройство, сделайте следующее:

Подключите устройство непосредственно к порту вашего хоста (т.е. к выделенному адаптеру Ethernet)
Дано eth1 это имя сетевого адаптера вашего хоста, который вы выделили для тестирования (см. выше), используйте эту команду для записи журнала пакетов в файл:
```
$ sudo tcpdump -s 65535 -i eth1 -w ~/device.pcap
```
Оставьте эту команду запущенной на некоторое время (например, на 24 часа).
Используйте устройство, как вы обычно делаете, чтобы оно (вероятно) генерировало некоторый трафик.
Прервите tcpdump с Ctrl-C
Изучите файл дампа трафика ~/device.pcap с любым инструментом, например, Wireshark

РЕДАКТИРОВАТЬ:

Если ваше устройство отказывается работать без IP-адреса, вы можете установить для него dhcp-сервер. Я предлагаю использовать dnsmasq для этих целей, например так (запустите на своем хосте тестирования):

# ifconfig eth1 192.168.100.1/24 up
# dnsmasq --bind-interfaces --conf-file= --interface eth1 --listen-address 192.168.122.1 --dhcp-range 192.168.100.2,192.168.100.254