Log con iptables

quite212 · 13-11-2007, 09:43

Salve a tutti!
mi servirebbero un paio di suggerimenti per un progetto che sto facendo,perchè non so proprio dove(più che altro "come" )mettere le mani.
Praticamente io ho un sistema così strutturato:
CP1 - Il mio portatile (con s.o. linux)
CP2 - un computer (con s.o. windows)
un hub attraverso i quali i 2 computer sono collegati alla rete.
Molto semplice.

Entrambi hanno un ip privato,e l'hub e collegato alla rete dell'università.

Il mio obiettivo è: con il mio computer devo fare il log del traffico che circola sull altro computer utilizzando iptables.

Ho una conoscenza molto base di iptables e di linux, e soprattutto torica delle reti.

Ho capito che un hub è un dispositivo che inoltra i dati in arrivo da una qualsiasi delle sue porte su tutte le altre, su questo non ci piove.
Quello che non ho capito è: semplicemente scrivendo delle regole iptables su PC1 posso realmente controllare e volendo, limitare il traffico di PC2? Dead

Così, leggendo semplicemente la descrizione dell'hub risponderei di si...ma non riesco a pansare delle regole efficaci di iptables...
Spero di essere stato chiaro..almeno ad esporre il problema Embarrassed
Magari qualcuno può darmi qualche suggerimento ..grazie!

Devil! · 13-11-2007, 10:00

Per catturare il traffico in transito puoi utilizzare Wireshark

Poichè, invece di uno switch, utilizzi un hub (che ripete il segnale su ciascuna porta ethernet), non dovrai far altro che attivare lo sniffer.

W.S. · 13-11-2007, 10:33

Utilizzando solo i log di iptables puoi leggere tutto il traffico riguardante l'altro pc.
Per poter limitare il traffico dell'altro pc non ti basta iptables, non in questo caso dato che non fai da gateway. Dovresti iniettare pacchetti forgiati apposta per tentare di far cadere le connessioni che vuoi limitare, rispondere alle query dns prima che lo faccia il server incaricato... robe simili insomma.

quite212 · 13-11-2007, 10:52

Grazie devil e w.s. per le risposte!!

Purtroppo devo usare per forza iptables devil, quindi altri programmi me li posso scordare!

In fondo a me nn importa limitare il traffico dell'altro computer, devo soltanto loggare i pacchetti che transitano per l'altro computer.

Poi un altra domanda..ma un hub ce l'ha un indirizzo fisico? cioè, i pacchetti che raggiungono l'hub a chi sono diretti?
Perchè io per fare delle regole di iptables che "controllino" il traffico del secondo pc devo sapere questi pacchetti a chi sono inviati.
Se non riesco a distinguere il mio traffico da quello dell'altro computer la vedo difficile fare il flie di log!

Devil! · 13-11-2007, 10:54

devi settare la scheda di rete in modalità promiscua

il traffico lo distingui in base all'header del pacchetto IP

W.S. · 13-11-2007, 11:31

Quote:

Originariamente inviato da quite212

Poi un altra domanda..ma un hub ce l'ha un indirizzo fisico? cioè, i pacchetti che raggiungono l'hub a chi sono diretti?

Un hub è solo un ripetitore, non ha un indirizzo (ammenoche non sia un apparato "grosso" gestibile in qualche modo).
Comunque, per il lavoro che svolge, un hub non ha bisogno di un indirizzo. I pacchetti che lo raggiungono sono diretti alle macchine con mac address che corrisponde a quanto contenuto nel frame ethernet dei pacchetti stessi. Un hub però non utilizza in alcun modo questa informazione.

Nel tuo caso, per distinguere il traffico basta il tuo indirizzo

vizzz · 13-11-2007, 12:14

wireshark supporta anche dei filtri, basta specificare il mac address destinatario che ti interessa e vedrai solo il traffico destinato all'altro pc.

quite212 · 13-11-2007, 16:30

Bene....mi rendo conto che sto diventando noioso

ma vorrei esser sicuro di aver capito il tutto.

Io ho questa rete composta da 2 computer e un hub alla rete dell'università!
L'hub funziona in modo che manda in broadcast tutti i pacchetti destinati ad entrambe le macchine. L'unica cosa che permette di dinsinguerli è l'indirizzo mac. Qundi c'è una selezione dei pacchetti a livello Hardware. Quindi per loggare il traffico destinato alla seconda macchina mi basta loggare tutti i pacchetti in ingresso alla mia scheda di rete e scartare quelli che hanno l'indirizzo mac corrispondente al mio!

Devo comunque provare le regole di iptables, ma almeno so che concettualmente ci siamo! (sempre che sia veramente così

)

13-11-2007, 09:43	#1
quite212 Junior Member Iscritto dal: Nov 2007 Messaggi: 3	Log con iptables Salve a tutti! mi servirebbero un paio di suggerimenti per un progetto che sto facendo,perchè non so proprio dove(più che altro "come" )mettere le mani. Praticamente io ho un sistema così strutturato: CP1 - Il mio portatile (con s.o. linux) CP2 - un computer (con s.o. windows) un hub attraverso i quali i 2 computer sono collegati alla rete. Molto semplice. Entrambi hanno un ip privato,e l'hub e collegato alla rete dell'università. Il mio obiettivo è: con il mio computer devo fare il log del traffico che circola sull altro computer utilizzando iptables. Ho una conoscenza molto base di iptables e di linux, e soprattutto torica delle reti. Ho capito che un hub è un dispositivo che inoltra i dati in arrivo da una qualsiasi delle sue porte su tutte le altre, su questo non ci piove. Quello che non ho capito è: semplicemente scrivendo delle regole iptables su PC1 posso realmente controllare e volendo, limitare il traffico di PC2? Dead Così, leggendo semplicemente la descrizione dell'hub risponderei di si...ma non riesco a pansare delle regole efficaci di iptables... Spero di essere stato chiaro..almeno ad esporre il problema Embarrassed Magari qualcuno può darmi qualche suggerimento ..grazie!

13-11-2007, 10:00	#2
Devil! Senior Member Iscritto dal: Feb 2003 Città: Padova Messaggi: 5905	Per catturare il traffico in transito puoi utilizzare Wireshark Poichè, invece di uno switch, utilizzi un hub (che ripete il segnale su ciascuna porta ethernet), non dovrai far altro che attivare lo sniffer. __________________

13-11-2007, 10:33	#3
W.S. Senior Member Iscritto dal: Nov 2005 Messaggi: 1868	Utilizzando solo i log di iptables puoi leggere tutto il traffico riguardante l'altro pc. Per poter limitare il traffico dell'altro pc non ti basta iptables, non in questo caso dato che non fai da gateway. Dovresti iniettare pacchetti forgiati apposta per tentare di far cadere le connessioni che vuoi limitare, rispondere alle query dns prima che lo faccia il server incaricato... robe simili insomma. __________________ [ W.S. ]

13-11-2007, 10:54	#5
Devil! Senior Member Iscritto dal: Feb 2003 Città: Padova Messaggi: 5905	devi settare la scheda di rete in modalità promiscua il traffico lo distingui in base all'header del pacchetto IP __________________

13-11-2007, 12:14	#7
vizzz Senior Member Iscritto dal: Mar 2006 Città: Bergamo Messaggi: 2499	wireshark supporta anche dei filtri, basta specificare il mac address destinatario che ti interessa e vedrai solo il traffico destinato all'altro pc. __________________ ho concluso con: kvegeta, doctordb, Leland Gaunt.

13-11-2007, 10:52	#4
quite212 Junior Member Iscritto dal: Nov 2007 Messaggi: 3	Grazie devil e w.s. per le risposte!! Purtroppo devo usare per forza iptables devil, quindi altri programmi me li posso scordare! In fondo a me nn importa limitare il traffico dell'altro computer, devo soltanto loggare i pacchetti che transitano per l'altro computer. Poi un altra domanda..ma un hub ce l'ha un indirizzo fisico? cioè, i pacchetti che raggiungono l'hub a chi sono diretti? Perchè io per fare delle regole di iptables che "controllino" il traffico del secondo pc devo sapere questi pacchetti a chi sono inviati. Se non riesco a distinguere il mio traffico da quello dell'altro computer la vedo difficile fare il flie di log!

13-11-2007, 16:30	#8
quite212 Junior Member Iscritto dal: Nov 2007 Messaggi: 3	Bene....mi rendo conto che sto diventando noioso ma vorrei esser sicuro di aver capito il tutto. Io ho questa rete composta da 2 computer e un hub alla rete dell'università! L'hub funziona in modo che manda in broadcast tutti i pacchetti destinati ad entrambe le macchine. L'unica cosa che permette di dinsinguerli è l'indirizzo mac. Qundi c'è una selezione dei pacchetti a livello Hardware. Quindi per loggare il traffico destinato alla seconda macchina mi basta loggare tutti i pacchetti in ingresso alla mia scheda di rete e scartare quelli che hanno l'indirizzo mac corrispondente al mio! Devo comunque provare le regole di iptables, ma almeno so che concettualmente ci siamo! (sempre che sia veramente così )

Strumenti
Mostra una versione stampabile Invia questa pagina per email