https://www.opennet.dev/openforum/vsluhforumID10/5513.html Всем доброго времени суток!<br><br>Исходные данные:<br>- Роутер DIR300 с установленной mini-linux dd-wrt на борту, в качестве брандмауреа используются iptables<br>- роутер подключен к интернет и имеет постоянный внешний IP 185.xx.xx.204 через WAN порт (интерфейс в таблицах: vlan2)<br>- на роутере настроен проброс портов на локальный адрес [...tcp dpt:44789 to:192.168.0.10:44789]<br>- к роутеру подключен DVR с камерами наблюдения (через ethernet-кабель), DVR имеет постоянный внутрисетевой IP: 192.168.0.10, доступ к камерам осуществляется через порт 44789<br>- вот на этом роутере я хочу фильтровать пакеты, которые поступают на порт 44789 с внешней сети<br><br>Задачи:<br>1. записать в журнал когда и с какого IP были попытки доступа на соответствующий порт 44789<br>2. чтобы не засорять журнла, нужно записывать не более 5 значений за 5 минут<br>3. отфильтровать пакеты. Т.е. с некоторых IP - разрешить доступ на этот порт, а с некоторых - запретить, а остальные просто наблюдать и записывать в журнал<br><br>Проблема: <br>1. не могу записать в жур https://www.opennet.dev/openforum/vsluhforumID10/5513.html#3 Sat, 04 Jan 2020 05:22:55 GMT &gt; Вставил правила перед правилом с "-state ESTABLISHED,RELATED" и все считается и логируется!<br><br>А соответствующие ему пакеты точно представляют интерес? Чтобы выяснить, кто и когда заходил на TCP-сервер, достаточно SYN-пакетов. Остальные нужны только если надо знать сколько он висел и сколько данных передал.<br><br>&gt; Можете написать хотя бы один пример, как с помощью awk мне вывести <br>&gt; команду в отдельный файл?<br><br>Команду в файл лучше выводить не awk'ом, а с помощью шелла:<br>exec команда &gt; файл<br>Шелл при этом свяжет дескриптор вывода с файлом и завершится, передав управление команде. Чтобы шелл не завершался, убрать "exec". Awk понадобится для парсинга вывода по полям и его обработки программой (на нём можно реализовать алгоритм лимитирования вывода, как &#8212; не подскажу).<br> https://www.opennet.dev/openforum/vsluhforumID10/5513.html#2 Fri, 03 Jan 2020 21:06:51 GMT Спасибо большое!<br>Учел рекомендации. Вставил правила перед правилом с "-state ESTABLISHED,RELATED" и все считается и логируется!<br><br>&gt; Для записи &#8212; logread -f и awk с обработкой вывода в помощь.<br><br>Можете написать хотя бы один пример, как с помощью awk мне вывести команду в отдельный файл?<br><br>p.s.<br>Пока что решил собирать лог удаленно https://papertrailapp.com/, а то в роутере флешки никакой нет<br><br>Ну и еще можно ln -s /tmp/var/log/messages /tmp/www/log.html<br>и потом конекчусь к модему каждые N минут с удаленного сервака и забираю лог на текущий момент<br> https://www.opennet.dev/openforum/vsluhforumID10/5513.html#1 Wed, 01 Jan 2020 17:40:03 GMT &gt; - в таблице FILTER-&gt;FORWARD есть какие-то пакеты (видно на скрине), но это не совсем то, т.к., когда я подключаюсь к камерам наблюдения, то трафик на самом деле 0,5Мб/сек, а в журнале FORWARD записалось каких-то 300 байт и на этом все<br><br>Потому что остальные пакеты попали под -m state --state ESTABLISHED,RELATED и были ACCEPT'нуты ранее, а остались только запросы на установку соединения (TCP SYN). ACCEPT означает прекращение обработки пакета в данной цепочке и передачу его далее.<br><br>&gt; - но, включая системный журнал на своем роутере на вкладке Security-&gt;Firewall-&gt;Log Management<br><br>я спокойно вижу как эти все пакеты проходят и идут по назначению, а вот как их мне перехватить (в каком месте, какой командой) я не знаю<br>Если там логируются вообще все пакеты, рекомендую это отключить, а логировать только нужное (нарисовать правило iptables с -j LOG).<br><br>Для записи &#8212; logread -f и awk с обработкой вывода в помощь. Не рекомендую организовывать периодическую запись на встроенную флешку роутера, она от этого быстр