[linux] niet routeren, wel loggen met ulogd

Geert Stappers stappers op stappers.nl
Di Dec 21 19:56:24 CET 2021 

On Sun, Dec 19, 2021 at 11:03:16PM +0100, Geert-Jan wrote:
> On 19-12-2021 22:16, Geert Stappers wrote:
> > Hoi,
> >
> > Hoe iets te maken wat wat als router aangesproken worden,
> > wat dan niet routeert, maar wel logt?
> >
> > Idee is TV, speelcomputer en zulke aparaten op een apart netwerk te
> > zetten. Als default router wordt dan het device configureert waar de
> > vraag over gaat. Doel is voorkomen dat de consumentenaparaten niet naar
> > "huisbellen" en wel opvangen naar waar verbindingen gemaakt worden.
> >
> > Mijn inschatting is dat "niet routeren" er al is als de computer gewoon
> > niet kan routeren. Dat er "network unreachable" als antwoord komt.
> >
> > Hoe nu te loggen naar waar de verbindingsverzoeken waren?
> > Daar `tcpdump` voor misbruiken, of is er wat anders voor?
> >
> Hoi,
> 
> Ik neem even aan dat je dan een netwerk interface van een linux computer
> in het "consumenten netwerk" hebt hangen die verder geen andere functie
> heeft, en er wel een werkende DNS server in dit "consumenten netwerk"
> aanwezig is.

Ja, er is een werkende Domain Name Server. (En die logt)

 
> Dan zou je eens naar iptables/nftables kunnen kijken, hier staat een
> uitleg: https://www.thegeekstuff.com/2012/08/iptables-log-packets/
 
Vandaaruit verder gegaan en bij ulogd uitkomen.
Dat moet ik verder uitwerken.

( https://www.netfilter.org/projects/ulogd/index.html )


> Je kan ook kijken of je niet iets op je DNS server (piHole?) kunt doen,
> ik verwacht dat de meeste 'huisbellers' toch eerst een DNS verzoek doen.

Mijn verwachting van "naar huisbellers" is niet zo hoog.
Ik heb dan ook niet de verwachting dat ze netjes aan de toegewezen DNS
gaan vragen welk IP-adres thuis heeft sinds ze thuis zijn vertrokken.

Ik bedoel dat ik wel kan configureren dat DNS op 192.168.52.26 zit.
Als de deugeniet naar 1.1.1.1 of 9.9.9.9 gaat voor DNS requests,
is ie de piHole al voorbij.


> Met TCP dump of t-shark zie je wel meer.

Nogmaals dank voor de tip die mij naar ulogd leidde.


Groeten
Geert Stappers

P.S.

$ apt show ulogd2 2>/dev/null | sed --silent '/^Description/,$p'
Description: Netfilter Userspace Logging Daemon
 ulogd is an advanced netfilter logging daemon. It can act as a replacement for
 syslog for logging netfilter ruleset violations (via the NFLOG or ULOG iptables
 targets), can gather per-connection accounting using NFCT, or gather per-rule
 accounting using NFACCT. Output can be sent to plain text log files, a variety
 of SQL database formats, XML files, pcap files, syslog, and many other formats.
 .
 Support for the DBI database abstraction layer, MySQL, PostgreSQL and SQLite 3
 databases is in separate packages called ulogd2-dbi, ulogd2-mysql, ulogd2-pgsql
 and ulogd2-sqlite3 respectively. Support for writing to JSON files is the
 ulogd2-json package. Support for writing to pcap files is in the ulogd2-pcap
 package.

-- 
Silence is hard to parse

Meer informatie over de Linux maillijst