Iptable里有沒有辦法通過日誌記錄來記錄下請求的URL地址?
Iptable里有沒有辦法通過日誌記錄來記錄下請求的URL地址?
iptables -A FORWARD -p tcp -j LOG --log-level debug
#比如這個
iptables -I FORWARD -j DROP -p tcp -s 0.0.0.0/0 -m string --string "cmd.exe" -j LOG --log-level debug
#有沒有可能記錄下來正在訪問這個的URL,比如他可能是 abc.com/abc/cmd.exe ?
#比如這個有沒有可能記錄下來正在訪問80埠的所有URL?
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j LOG --log-level debug
#當前只記錄下類似這樣的
Nov 25 18:18:26 localhost kernel: IN=br0 OUT= PHYSIN=eth0 MAC=00:15:17:b5:bc:b4:00:1d:0f:0e:02:95:08:00 SRC=192.168.2.5 DST=192.168.2.9 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=38736 DF PROTO=TCP SPT=63284 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
#沒法知道請求的URL。
比如L7-filter等有沒有可能實現這個?
不知那位兄弟知道如何解決這個?
非常感謝您的幫助。
:lol: :lol:
《解決方案》
這個恐怕是無望了,為什麼不用個squid?,這可是他的強項!
《解決方案》
iptables日誌太大了,不好分析,
安裝squid實現好點
《解決方案》
我想實現透明的網橋模式, 用squid等就是透明代理了,同時又需要監控
iptables -I FORWARD -j DROP -p tcp -s 0.0.0.0/0 -m string --string "qq.com"
像這樣的是可以工作的,但就是不知如何能把這樣的string 給記錄下來。
謝謝
《解決方案》
iptables -I FORWARD -p tcp -s 0.0.0.0/0 -m string --string "qq.com" -j LOG --log-prefix"name"
如果這樣只是記錄匹配qq.com的log而且不是url ,建議還是用squid
《解決方案》
原帖由 feiyi 於 2009-11-25 23:45 發表 http://linux.chinaunix.net/bbs/images/common/back.gif
Iptable里有沒有辦法通過日誌記錄來記錄下請求的URL地址?
iptables -A FORWARD -p tcp -j LOG --log-level debug
#比如這個
iptables -I FORWARD -j DROP -p tcp -s 0.0.0.0/0 -m string --string ...
L7-filter 如果樓主不擔心你的速度受影響,那到可以考慮。
L7 filter 簡介
在Linux的防火牆體系Netfilter下有一個獨立的模塊L7 filter 。從字面上看Netfilter是對網路數據的過濾,L7 filter是基於數據流應用層內容的過濾。不過實際上 L7 filter的本職工作不是對數據流進行過濾而是對數據流進行分類。它使用模式匹配演算法把進入設備的數據包應用層內容與事先定義好的協議規則進行比對,如果匹配成功就說明這個數據包屬於某種協議。
L7 filter是基於數據流工作的,建立在Netfilter connstrack功能之上。因為一個數據流或者說一個連接的所有數據都是屬於同一個應用的,所以L7 filter沒有必要對所以的數據包進行模式匹配,而只匹配一個流的前面幾個數據包 (比如10個數據包)。當一個流的前面幾個數據包包含了某種應用層協議的特徵碼時 (比如QQ),則這個數據流被L7 filter識別;當前面幾個數據包的內容沒有包含某種應用層協議的特徵碼時,則L7 filter放棄繼續做模式匹配,這個數據流也就沒有辦法被識別。
做模式識別是一個很消耗計算資源的操作,特別是在網路應用下因為數據量很多所以更體現出對資源的佔用上。在Linux內核,L7 filter其實非常影響網路處理的效率。所以在沒有十分必要的時候盡量不要採用L7 filter做流量分類。現在出現了一個運行在Linux用戶空間的版本 L7 filter-userspace ,這個軟體運行時不會影響內核,但是處理效率會更低。實際上L7 filter-userspace 調用了netlink協議族的功能,整個處理過程至少進行了兩次的數據包拷貝操作,能不影響效率嗎?
不過話說回來,在對性能要求不高的應用上,L7 filter確實給我們提供了一個功能強大的網路流量管理工具。使用這個工具的操作也非常簡單,只要會 Iptables配置Linux防火牆,就會配置L7 filter規則。一個配置封殺QQ應用的例子如下:
Iptables -t mangle -A POSTROUTING -d x.x.x.x -p udp -m layer7 --l7proto qq -j DROP
《解決方案》
其實我也想用squid,dansguardian 等工具, 主要的問題有兩個方面,對於 後端的伺服器其實他能知道我們這個監控機器的IP, 比如通過 REMOTE_ADDR 就可以得到了, 二是我擔心後端幾百M的大流量過來后一般的機器能不能接受得了。
