web-dev-qa-db-ja.com

Linuxゲートウェイからローカルコンピューターのポート使用状況と宛先試行を監視およびログに記録する方法は?

内部ネットワークへのゲートウェイとして機能しているLinuxサーバーにアクセスできます。

CAT5を介してこのネットワークに接続されているMagicJackPlusデバイスがあります。

MagicJackはLinuxサーバーからDHCP経由でIPを取得し、発行されたIPアドレスを特定しました。

そのIPをnmapしましたが、MagicJackPlusデバイスで開いているポートを見つけることができませんでした。

私はそれがどのように通信するか、特にそれが実際にどのポートを使用するかについて興味があります。 24時間の間にどのポートを使用するかを監視したいと思います。 (ローカルネットワーク上で)必要のない他のコンピューターと通信しようとしているかどうかを確認することに非常に興味があります。

最終的には、そのデバイスをロックダウンして、必要なものだけにアクセスできるようにします。

LinuxサーバーにはWebアプリのGUIとコマンドラインしかありません。「このデバイスのIP」のネットワークアクティビティを監視およびログに記録して、実際に使用しているポート、アクセスしようとしているもの、使用している帯域幅を確認するにはどうすればよいですか。

2
LonnieBest

デバイスが生成するすべてのトラフィックを取得するには、次の手順を実行します。

  1. デバイスをホストのポートに直接接続します(つまり、専用のイーサネットアダプターに接続します)
  2. eth1がテスト専用のホストのネットワークアダプタの名前である場合(上記を参照)、次のコマンドを使用してパケットログをファイルに書き込みます。

    $ Sudo tcpdump -s 65535 -i eth1 -w ~/device.pcap
    
  3. そのコマンドを一定期間(24時間など)実行したままにします。
  4. 通常どおりにデバイスを使用して、(おそらく)トラフィックを生成します。
  5. tcpdumpCtrl-Cで中断します
  6. トラフィックダンプファイル~/device.pcapを、好きなツールで調べます。 wireshark

編集:

デバイスがIPアドレスなしで動作することを拒否する場合は、dhcpサーバーを設定することをお勧めします。このような目的でdnsmasqを使用することをお勧めします(テストホストで実行):

# ifconfig eth1 192.168.100.1/24 up
# dnsmasq --bind-interfaces --conf-file= --interface eth1 --listen-address 192.168.122.1 --dhcp-range 192.168.100.2,192.168.100.254
2