Il s'agit de la commande natlog qui peut être exécutée dans le fournisseur d'hébergement gratuit OnWorks en utilisant l'un de nos multiples postes de travail en ligne gratuits tels que Ubuntu Online, Fedora Online, l'émulateur en ligne Windows ou l'émulateur en ligne MAC OS
PROGRAMME:
Nom
natlog - outil de journalisation source-nat
SYNOPSIS
journal nat [OPTIONS] commander
DESCRIPTION
Pare-feu comme iptables(1) offrent habituellement POSTROUTING (traduction de l'adresse réseau source,
snat) installations changeant l'adresse source d'un hôte derrière le pare-feu à l'adresse
de l'hôte avant le pare-feu. Avec crotte les combinaisons suivantes d'adresses IP et
les numéros de port sont rencontrés :
o l'adresse IP et le numéro de port utilisés par l'hôte derrière le pare-feu (dans ce manuel
page appelée IPsrc, l'alimentation du sportif);
o l'adresse IP et le numéro de port de l'hôte IPsrc se connecte à (dans cette page de manuel
dénommé IPdst, déporter);
o l'adresse IP et le numéro de port utilisés par l'hôte de pare-feu lors de la création de la source
IPsrc et l'alimentation du sportif (dans cette page de manuel appelée IPfw, port d'embarquement).
Source natting utilise habituellement l'alimentation du sportif pour port d'embarquement, mais port d'embarquement peut déjà être utilisé, dans lequel
dans le cas où l'hôte de pare-feu doit utiliser un autre port disponible pour transférer la communication depuis
IPsrc, l'alimentation du sportif à IPdst, déporter.
Le schéma général qui s'applique à la source natting ressemble donc à ceci :
IPsrc:sport est traduit par le pare-feu en IPfw:fwport ;
IPfw:fwport est utilisé lors de la communication avec IPdst:dport.
Du point de vue de l'hôte de destination, la communication provient de IPfw ::fwport
et par conséquent toutes les communications (par exemple, et rapport d'incident) envoyées par les systèmes
administrateur maintenance IPdst à IPfwNamel'administrateur système de se référera à IPfw:fwport,
plutôt que de IPsrc :: sport.
Les fonctions de journalisation standard fournies par iptables ne nous permettent pas facilement de rapporter
IPfw:fwport à IPsrc:sportet journal nat a été développé pour combler ce créneau particulier.
En cours d'exécution journal nat, les messages sont envoyés au démon syslog (par exemple, rsyslogd(1)) et/ou le
flux de sortie standard montrant les caractéristiques essentielles de la connexion utilisant
natting source. Voici un exemple:
NATLOG : (TCP) De 1338990672:55588 jusqu'à 1338990747:807100 :
192.168.19.72:4467 (via : 129.125.90.132:4467) à 200.49.219.180:443
Dans cet exemple, les valeurs 1338990672:55588 et 1338990747:807100 représenter les horodatages
affichant les heures de début et de fin en secondes : microsecondes d'une connexion TCP depuis le 1er janvier
1970, 0h00 UTC. Journal national offre le --dateheure option, résultant en des représentations temporelles
comme novembre 2 13:29:11 plutôt que des représentations temporelles utilisant des secondes et des microsecondes.
La valeur suivante (192.168.19.72:4467) représente IPsrc :: sport. Ceci est suivi de
129.125.90.132:4467représentant IPfw:fwport. La troisième paire de valeurs
(200.49.219.180:443) représente IPdst:dport.
Dans cet exemple, l'hôte 192.168.19.72, en utilisant le port 4467, connecté à l'hôte 200.49.219.180,
port 443. Pour ce dernier hôte, la connexion semblait provenir de
129.125.90.132 port 4467. Le message de journal fourni nous permet facilement de relier cela au
Hôte et port « réels » d'où provient la connexion : 192.168.19.72:4467.
Quand journal nat se termine journal nat ne peut plus suivre les connexions encore ouvertes. Si
journal nat a été résilié par un SIGTERME signal, puis il envoie une ligne de « terminaison » à syslog,
suivi d'un aperçu de toutes les connexions encore ouvertes. Les valeurs de fin de microsecondes de
les connexions qui ne sont plus suivies sont affichées comme 0000.
COMMANDES
o conntrack: cette commande ne peut être utilisée que sur les plateformes utilisant iptables(1) sur lequel
conntrack(1) a également été installé. Informations sur les connexions à la source
est obtenu à partir de conntrackla sortie de (1). Avec cette commande, TCP, UDP et ICMP
les protocoles de couche quatre peuvent être surveillés (par défaut, le protocole TCP est surveillé).
Voir aussi commande-conntrack option.
o un appareil appareil externe: un appareil est le nom du périphérique derrière le pare-feu.
Adresses vivant derrière le un appareil sont liés à la source à l'adresse IP du pare-feu
lorsqu'il est transmis au appareil externe; appareil externe est le nom de l'appareil auquel
les paquets source-natted sont transférés, cq d'où les réponses pour source-natted
hôtes vivant derrière le un appareil sont reçus. Actuellement, cette commande est uniquement
disponible pour le suivi des connexions TCP.
OPTIONS
o --config=chemin-config (-c)
L'argument chemin-config définit le chemin d'accès au fichier de configuration à utiliser par
journal nat. Par défaut, le fichier de configuration est attendu dans /etc/natlog.conf. Tous
les options de configuration ont des valeurs par défaut, qui sont utilisées lorsqu'aucun fichier de configuration et
aucune option de ligne de commande n'est fournie.
Toutes les options, sauf pour configuration, vous aider et verbeux peut également être spécifié dans le
fichier de configuration. Le fichier de configuration ignore les lignes vides et toutes les informations
sur les lignes commençant par un dièse (#). Dans le fichier de configuration, les noms d'options ne
n'utilisez pas de tirets initiaux et peuvent être immédiatement suivis de deux points. Multi-mot
les arguments ne doivent pas être entourés de guillemets. Exemples:
Stdout
syslog-facilité : LOCAL0
Les options de ligne de commande remplacent les options du fichier de configuration.
o --conntrack-commande=chemin [choix]
Le chemin et les options du conntrack(1) programme. Par défaut c'est
/usr/sbin/conntrack -p tcp -E -n -o horodatage -e NOUVEAU, DÉTRUIRE, résultant en:
- Surveillance du protocole TCP de couche quatre ;
- Affichage des journaux d'événements en temps réel (-E);
- Affichage des horodatages (-o horodatage);
- Enregistrement de tous les événements nouveaux et détruits (terminés) (-e NOUVEAU, DÉTRUIRE);
Les protocoles à surveiller peuvent être configurés séparément à l'aide de la --protocole option.
Le manuel de formation conntrack le programme doit être disponible lors de la demande journal nat's conntrack commander.
Les protocoles de couche quatre autres que TCP, UDP et ICMP ne sont actuellement pas pris en charge. UNE
sous-ensemble des protocoles pris en charge peut être demandé en utilisant de conntrack -p TCP, -p udp
or -p icmp options.
o --conntrack-restart=max
Si le processus de conntrack se termine prématurément, il est redémarré au plus max fois (ces
sont purs redémarre: le démarrage initial de conntrack n'est pas pris en compte pour cette option). Par
par défaut, 10 redémarrages sont autorisés.
o --Aidez-moi (-h)
Écrivez les informations d'utilisation de base dans le flux de sortie standard et terminez.
o --no-démon
Par défaut, journal nat s'exécute en arrière-plan (un démon). Journal national fonctionne comme un ordinaire
programme (c'est-à-dire au premier plan lorsque l'option pas de démon est fourni). Lorsque
fonctionnant comme un démon, --stdout (voir ci-dessous) est supprimé, et --verbeux messages
(voir ci-dessous) sont envoyés au démon sylog, à moins que --no-syslog a été précisé.
o --no-syslog
Par défaut journal nat écrit des messages syslog dans le DÉMON établissement avec priorité
AVIS. Aucun message n'est envoyé au démon syslog lorsque cette option est spécifiée.
o --fichier-pid=chemin (-p)
Quand journal nat s'exécute en arrière-plan, puis chemin est le nom du chemin du fichier
contenant le process-id du démon. Par défaut c'est /run/natlog.pid. Pour terminer le
démon, envoyez un signal SIGTERM à l'identifiant de processus mentionné dans le fichier pid. Journal national
ne tient pas compte VUE D'ENSEMBLE signaux (mais écrit un message de journal si un VUE D'ENSEMBLE l'interruption est
a reçu).
o --protocole=spécification (-P)
Les protocoles à surveiller par conntrack(1). Par défaut commande-conntrack surveille le
Protocole TCP de couche quatre. Actuellement natlog conntrack commande peut surveiller le TCP,
Protocoles UDP et ICMP couche quatre. En utilisant le protocole option (note : singulier !)
tout sous-ensemble de ces protocoles peut être sélectionné en spécifiant un
sous-ensemble de TCP, UDP et ICMP (par exemple, --protocole udp:tcp). La spécification tous Vous pouvez
être utilisé pour surveiller les trois protocoles : TCP, UDP et ICMP.
Si la commande-conntrack l'option est spécifiée, le protocole l'option est ignorée.
o --stdout (-s)
Des messages équivalents à Syslog sont envoyés à la sortie standard. Cette option est implicite
by --verbeux, mais est supprimé lorsque journal nat fonctionne comme un démon..
o --syslog-facilité=facilité
La fonction utilisée pour écrire les messages syslog. Par défaut c'est
DÉMON. Pour un aperçu des installations et de leurs significations, voir, par exemple, syslog (3).
et journal nat les installations DÉMON, LOCALE0, LOCALE1, LOCALE2, LOCALE3, LOCALE4, LOCALE5,
LOCALE6, LOCAL7et UTILISATEUR peut être utilisé.
o --syslog-priorité=priorité
La priorité qui est utilisée pour écrire les messages syslog. Par défaut c'est
AVIS. Pour un aperçu des priorités et de leur signification, voir, par exemple, syslog (3).
et journal nat toutes les priorités définies peuvent être utilisées. Par exemple, ÉMERG, ALERTE, CRIT, SE TROMPER,
ATTENTION, AVIS, INFO et DEBUG.
o --syslog-tag=Étiquette
Lorsque des messages syslog sont générés, ils peuvent être fournis avec un Étiquette, qui peut être
utilisé pour filtrer journal natles messages syslog des fichiers journaux. Par défaut la balise
NATLOG est utilisé. Voir aussi la rubrique RSYSLOG Filtrage ci-dessous.
o --temps=spec (-t)
Par défaut, les horodatages écrits par journal nat sont sous forme brute et numérique. Par exemple,
NATLOG : De 1338990672:55588 jusqu'à 1338990747:807100
Ces horodatages indiquent les temps en secondes : microsecondes depuis le début de la
époque, 1er janvier 1970, 0:00 UTC. Cette option peut être utilisée pour changer les secondes
une partie des horodatages à des représentations plus conventionnelles.
Spécifier brut (la valeur par défaut) pour la représentation par défaut en secondes depuis la
époque;
spécifier utc pour une représentation comme juin 6 13:29:11, en utilisant le temps universel
Coordonné ;
spécifier locales pour une représentation comme juin 6 13:29:11, en utilisant le fuseau horaire local
défini par l'ordinateur exécutant journal nat.
o --verbeux
Messages supplémentaires sur journal natle mode de fonctionnement de sont envoyés à la norme
flux de sortie. Lorsque journal nat fonctionne comme un démon, ces messages sont envoyés au syslog
démon, à moins que --no-syslog a été précisé.
o --version (-v)
Écrire journal natle numéro de version du flux de sortie standard et se termine.
o --avertir (-w)
Avertir de mettre fin à des connexions non encore enregistrées dans journal natbase de données de. Cette
ne se produit normalement que pendant une courte période après le début journal nat, lorsqu'il existe
les connexions n'ont pas encore été remarquées.
RSYSLOG Filtrage
Lors de l'utilisation rsyslogd(1) les filtres basés sur les propriétés peuvent être utilisés pour filtrer les messages syslog et
écrivez-les dans un fichier de votre choix. Par exemple, pour filtrer les messages en commençant par le syslog
balise de message (par exemple, NATLOG) utilisation
:syslogtag, isequal, "NATLOG:" /var/log/natlog.log
:syslogtag, isequal, "NATLOG:" stop
Notez que les deux points font partie de la balise, mais ne sont pas spécifiés avec le balise syslog option.
Cela provoque tous les messages ayant le NATLOG : étiquette à écrire dessus /var/log/natlog.log après
dont ils sont jetés. Un filtrage plus étendu est également pris en charge, voir, par exemple,
http://www.rsyslog.com/doc/rsyslog_conf_filter.html et
http://www.rsyslog.com/doc/property_replacer.html
EXEMPLES
Des exemples de journal nat activations :
o journal nat --no-démon --no-syslog -s tun0 eth0
Journal national reste actif en tant que processus de premier plan, aucun message syslog n'est écrit,
les messages équivalents à syslog sont écrits sur la sortie standard. Journal national utilise le pcap
bibliothèque pour capturer les paquets du tun0 appareil (par exemple, un openvpn(1) appareil), qui
est actif derrière le pare-feu, et pour capturer les paquets du eth0 appareil, qui
est le périphérique vers lequel les packages source-natted sont envoyés.
o journal nat conntrack
Selon les options spécifiées dans /etc/natlog.conf (ou, si non disponible,
journal natles options par défaut de ) les connexions à la source sont obtenues à partir de conntrack (1).
Par défaut journal nat continue comme un processus démon, générant des messages syslog en utilisant
balises syslog NATLOG :, et contenant des informations sur les connexions à la source.
Voici journal natle fichier de configuration par défaut de. Lignes vides et lignes commençant par
les dièses (#) sont ignorés. Les options respectent la syntaxe suivante :
valeur d'option
L'option et la valeur sont séparées par un espace blanc, un deux-points peut être ajouté aux noms d'option,
et les valeurs d'option peuvent être constituées de plusieurs mots.
# Ce fichier de configuration affiche les valeurs d'option par défaut.
# toutes les options et valeurs sont sensibles à la casse
# voir `man natlog' pour plus de détails
# le chemin et les options du programme conntrack :
# lorsqu'aucune option de filtrage n'est spécifiée, le tcp
# protocole est surveillé
# la commande par défaut est affichée :
#conntrack-command : /usr/sbin/conntrack -p tcp -E -n -o timestamp -e NEW,DETRUIRE"
# les protocoles qui sont scannés avec la commande 'conntrack' :
# protocole : all - surveille tcp, udp, icmp
# protocole : udp:tcp - surveille upd et tcp (tout sous-ensemble non vide,
# inclure éventuellement icmp est OK)
# ignoré lorsque conntrack-command est spécifié
#protocole : tcp
# la balise syslog par défaut :
#syslog-tag : NATLOG
# la fonction syslog par défaut :
#syslog-facility : DAEMON
# la priorité syslog par défaut :
#syslog-priority : AVIS
# la spécification de l'heure :
#temps : brut
# le chemin vers le fichier pid du processus démon de natlog
#pid-file : /var/natlog.pid
# fin du fichier de configuration
Utilisez natlog en ligne en utilisant les services onworks.net
