Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Interpretazione log connessione.

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
Furuvio



Registrato: 07/06/11 13:59
Messaggi: 2

MessaggioInviato: Mar Giu 07, 2011 2:17 pm    Oggetto: Interpretazione log connessione. Rispondi citando

Ciao a tutti,
abbiamo messo su un ZeroShell per la videosorveglianza.
Funziona tutto.
Per vedere che la societą di esterna di videosorveglianza effettivamente si connetta secondo il contratto, sono andato a vedere il log.
Log Viewer / ConnTrack, filtro mettendo l'IP pubblico della societą esterna che monitora la videosorveglianza (per comoditą 70.80.920.100).
Vedo un po' di connessioni, NEW, SYN-SENT, ACK e DESTROY ma non capisco quando si sono collegati e quando scollegati.

vi allego un sample del log, dalle 03:03:07 alle 16:30:53
[color=green]
03:03:37
[UPDATE] tcp 6 10 CLOSE src=70.80.90.100 dst=102.216.5.2 sport=26422 dport=9001 src=10.1.3.125 dst=10.1.3.32 sport=9001 dport=26422 [ASSURED]
03:03:43
[NEW] tcp 6 120 SYN_SENT src=70.80.90.100 dst=102.216.5.2 sport=28913 dport=8944 [UNREPLIED] src=10.1.3.125 dst=10.1.3.32 sport=80 dport=28913
03:03:43
[UPDATE] tcp 6 60 SYN_RECV src=70.80.90.100 dst=102.216.5.2 sport=28913 dport=8944 src=10.1.3.125 dst=10.1.3.32 sport=80 dport=28913
03:03:43
[UPDATE] tcp 6 432000 ESTABLISHED src=70.80.90.100 dst=102.216.5.2 sport=28913 dport=8944 src=10.1.3.125 dst=10.1.3.32 sport=80 dport=28913 [ASSURED]
03:03:43
[UPDATE] tcp 6 120 FIN_WAIT src=70.80.90.100 dst=102.216.5.2 sport=28913 dport=8944 src=10.1.3.125 dst=10.1.3.32 sport=80 dport=28913 [ASSURED]
03:03:43
[UPDATE] tcp 6 60 CLOSE_WAIT src=70.80.90.100 dst=102.216.5.2 sport=28913 dport=8944 src=10.1.3.125 dst=10.1.3.32 sport=80 dport=28913 [ASSURED]
03:03:43
[UPDATE] tcp 6 30 LAST_ACK src=70.80.90.100 dst=102.216.5.2 sport=28913 dport=8944 src=10.1.3.125 dst=10.1.3.32 sport=80 dport=28913 [ASSURED]
03:03:43
[UPDATE] tcp 6 120 TIME_WAIT src=70.80.90.100 dst=102.216.5.2 sport=28913 dport=8944 src=10.1.3.125 dst=10.1.3.32 sport=80 dport=28913 [ASSURED]
03:03:47
[DESTROY] tcp 6 src=70.80.90.100 dst=102.216.5.2 sport=26422 dport=9001 packets=208807 bytes=8399872 src=10.1.3.125 dst=10.1.3.32 sport=9001 dport=26422 packets=401018 bytes=595059696
03:04:00
[NEW] tcp 6 120 SYN_SENT src=70.80.90.100 dst=102.216.5.2 sport=28928 dport=9001 [UNREPLIED] src=10.1.3.125 dst=10.1.3.32 sport=9001 dport=28928
03:04:00
[UPDATE] tcp 6 60 SYN_RECV src=70.80.90.100 dst=102.216.5.2 sport=28928 dport=9001 src=10.1.3.125 dst=10.1.3.32 sport=9001 dport=28928
03:04:01
[UPDATE] tcp 6 432000 ESTABLISHED src=70.80.90.100 dst=102.216.5.2 sport=28928 dport=9001 src=10.1.3.125 dst=10.1.3.32 sport=9001 dport=28928 [ASSURED]
03:05:43
[DESTROY] tcp 6 src=70.80.90.100 dst=102.216.5.2 sport=28913 dport=8944 packets=5 bytes=915 src=10.1.3.125 dst=10.1.3.32 sport=80 dport=28913 packets=5 bytes=1348
07:07:54
[UPDATE] tcp 6 10 CLOSE src=70.80.90.100 dst=102.216.5.2 sport=28928 dport=9001 src=10.1.3.125 dst=10.1.3.32 sport=9001 dport=28928 [ASSURED]
07:08:04
[DESTROY] tcp 6 src=70.80.90.100 dst=102.216.5.2 sport=28928 dport=9001 packets=169148 bytes=6858588 src=10.1.3.125 dst=10.1.3.32 sport=9001 dport=28928 packets=320445 bytes=475805356
11:42:17
[NEW] tcp 6 120 SYN_SENT src=70.80.90.100 dst=102.216.5.2 sport=18231 dport=8944 [UNREPLIED] src=10.1.3.125 dst=10.1.3.32 sport=80 dport=18231
11:42:17
[UPDATE] tcp 6 60 SYN_RECV src=70.80.90.100 dst=102.216.5.2 sport=18231 dport=8944 src=10.1.3.125 dst=10.1.3.32 sport=80 dport=18231
11:42:17
[UPDATE] tcp 6 432000 ESTABLISHED src=70.80.90.100 dst=102.216.5.2 sport=18231 dport=8944 src=10.1.3.125 dst=10.1.3.32 sport=80 dport=18231 [ASSURED]
11:42:17
[UPDATE] tcp 6 120 FIN_WAIT src=70.80.90.100 dst=102.216.5.2 sport=18231 dport=8944 src=10.1.3.125 dst=10.1.3.32 sport=80 dport=18231 [ASSURED]
11:42:18
[UPDATE] tcp 6 60 CLOSE_WAIT src=70.80.90.100 dst=102.216.5.2 sport=18231 dport=8944 src=10.1.3.125 dst=10.1.3.32 sport=80 dport=18231 [ASSURED]
11:42:18
[UPDATE] tcp 6 30 LAST_ACK src=70.80.90.100 dst=102.216.5.2 sport=18231 dport=8944 src=10.1.3.125 dst=10.1.3.32 sport=80 dport=18231 [ASSURED]
11:42:18
[UPDATE] tcp 6 120 TIME_WAIT src=70.80.90.100 dst=102.216.5.2 sport=18231 dport=8944 src=10.1.3.125 dst=10.1.3.32 sport=80 dport=18231 [ASSURED]
11:42:39
[NEW] tcp 6 120 SYN_SENT src=70.80.90.100 dst=102.216.5.2 sport=18290 dport=9001 [UNREPLIED] src=10.1.3.125 dst=10.1.3.32 sport=9001 dport=18290
11:42:39
[UPDATE] tcp 6 60 SYN_RECV src=70.80.90.100 dst=102.216.5.2 sport=18290 dport=9001 src=10.1.3.125 dst=10.1.3.32 sport=9001 dport=18290
11:42:39
[UPDATE] tcp 6 432000 ESTABLISHED src=70.80.90.100 dst=102.216.5.2 sport=18290 dport=9001 src=10.1.3.125 dst=10.1.3.32 sport=9001 dport=18290 [ASSURED]
11:44:18
[DESTROY] tcp 6 src=70.80.90.100 dst=102.216.5.2 sport=18231 dport=8944 packets=5 bytes=697 src=10.1.3.125 dst=10.1.3.32 sport=80 dport=18231 packets=5 bytes=1348
13:45:22
[UPDATE] tcp 6 10 CLOSE src=70.80.90.100 dst=102.216.5.2 sport=18290 dport=9001 src=10.1.3.125 dst=10.1.3.32 sport=9001 dport=18290 [ASSURED]
13:45:32
[DESTROY] tcp 6 src=70.80.90.100 dst=102.216.5.2 sport=18290 dport=9001 packets=84836 bytes=3471824 src=10.1.3.125 dst=10.1.3.32 sport=9001 dport=18290 packets=159506 bytes=236744684
16:30:53
[NEW] tcp 6 120 SYN_SENT src=70.80.90.100 dst=102.216.5.2 sport=22224 dport=8944 [UNREPLIED] src=10.1.3.125 dst=10.1.3.32 sport=80 dport=22224
16:30:53
[UPDATE] tcp 6 60 SYN_RECV src=70.80.90.100 dst=102.216.5.2 sport=22224 dport=8944 src=10.1.3.125 dst=10.1.3.32 sport=80 dport=22224
[/color]

Grazie.
Furuvio.
Top
Profilo Invia messaggio privato
svenny



Registrato: 18/09/08 12:11
Messaggi: 245

MessaggioInviato: Mer Giu 08, 2011 11:28 am    Oggetto: Rispondi citando

In questa pagina potrai trovare indicazioni utili sull'interpretazione del log del connection tracking:

http://www.faqs.org/docs/iptables/theconntrackentries.html

Ciao
Top
Profilo Invia messaggio privato
Furuvio



Registrato: 07/06/11 13:59
Messaggi: 2

MessaggioInviato: Gio Giu 16, 2011 3:37 pm    Oggetto: Rispondi citando

grazie svenny.
Ho capito.
Nel mio caso la chiusura della sessione avviene quando c'č una [DESTROY]sulla porta 8944.

ciao.
Furuvio.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it