voila je debute ss debian et je dois installer TCPDUMP et le configurer pr qu'il me sorte des logs (de pref ds une BDD) contenant les @src,@dest,port src, port dest
quelqu'un a deja fait ca (surtout un filtre d'exportation ss TCPDUMP) ?
 
merci !!
 
 
----edit----
voir en bas !

up!

sudo apt-get install tcpdump
tcpdump -n expression > truc.dat
 
mais bon, tcpdump telquel n'est peut-être pas l'outil le plus aproprié pour faire ce que tu veux... A la limite, un prog en C d'une centaines de lignes (ou en perl d'une dizaine) utilisant la libpcap serait le mieux...

Ou plus simplement iptables

plus simple? tu rigoles? et puis c beaucoup plus lourd...

iptables -A INPUT  -i ppp0 -j LOG --log-prefix '[iptables IN]  : '
iptables -A INPUT  -i ppp0 -j ACCEPT
iptables -A OUTPUT -o ppp0 -j LOG --log-prefix '[iptables OUT]  : '
iptables -A OUTPUT -o ppp0 -j ACCEPT
 
stateless = 0% de temp CPU

oui, mais bonjour l'heresis au niveau du logd quand ton interface sature

je comprends pas tout la, mais je v regarder ;-)

Si tu parle du flood, tu ajoute -m limit --limit 1/s devant -j LOG.
Et tu peut y mettre la valeure que tu veut, mais le mieux a faire la, c'est de fixer un quotas sur la taille du log, et le vider une a deux fois par jour

y a til un bon site (pas trop difficile d'acces) qui explique ce que font chaque option de iptable ? (notamment la generation de logs)

http://www.linuxguruz.org/iptables [...] HOWTO.html
 
lithium : et après, ses stats sont fausses
Et puis je parlais pas de flood, je parlait simplement d'un traffic important de petits paquets sur un réseau en 100 ou plus (gigabit, ...)... C'est pas iptables qui vas saturer, mais le démon qui logue... Il vas saturer en données à traiter et en écriture disque... A moins d'utiliser metalog...

c pas une bonne solution alors d'utiliser les logs d'iptables ?

est que je peux juste avoir ds les logs @IP src, @ip dest et port src, port dest ?

Oui, ca te laissera des messages de ce style dans /var/log/syslog :
 
Apr  4 11:18:56 sapphire kernel: [iptables inet DROP]  : IN=ppp0 OUT= MAC= SRC=202.226.188.92 DST=81.50.92.84 LEN=78 TOS=0x00 PREC=0x00 TTL=108 ID=31833 PROTO=UDP SPT=1025 DPT=137 LEN=58

oui, ok mais c pas possible d'avoir uniquement ca ?

Ben ca depend de ton ruleset

en gros je voudrais que mes paquets rejetes soient loggués ds un fichier ss forme :
 
date hh:mm:ss @IPsrc portsrc @ipdest portdest
 
c faisable ca ?

seulement les rejetés? Alors iptables est la moins mauvaise solution

Mais a quoi ca va te servire si tu ne coit pas ce que la source a tenter de faire ..?

+1... Et puis faut se méfier du spoofing

a quoi ca va servir ? ben notamment voir ce qu'on essaye de faire passer a travers mon reseau, mais je resitue un peu,
c ds le cadre de 2 reseaux locaux qui communiquent via une LS, le but c de pas faire transiter des paquets inutiles entre les 2 reseaux. dc d'abord j'analyse les flux que je vx/dois laisser passer et je drop tt le reste, mais bon j'aimerais qd meme avoir une trace, et eventuellement savoir quel flux je dois ajouter a mes regles pr le laisser passer.

autre question, ce PC/firewall sera place juste avant le routeur qui permet de se connecter a un autre reseau distant, comment configurer ip table pr cela ?  si j'ai bien compris faut que j'active le forwarding c ca ? qu'est qu'il faut que je fasse de particulier ?

up

bon a priori faut que je fasse un truc ds ce genre la non ?
http://www.linuxgazette.com/issue76/whitmarsh.html  
 
quelqu'un l'a deja fait ?

 
ca m interesse aussi