すべてのTCP接続パケットをログに記録するコマンド構文は何ですか?
ファイアウォールを構成できるように、コンピューターが送信に接続しようとしているアドレスとポートを確認しようとしています。
この使用例では、すべてのトラフィックではなく、接続を開始しようとするパケットのみをキャプチャすることをお勧めします。これは、SYNフラグのみが設定されたものになります。
tcpdump -ni ${INTERFACE} -w ~/synconnections.pcap tcp[13] == 2 and src Host ${MYIP}
これは主に tcpdumpのmanページ から引用しました。 「キャプチャTCP特定のフラグの組み合わせ(SYN-ACK、URG-ACKなど)を含むパケット)」というラベルの付いたセクションでは、フラグの意味を詳しく説明します(2番目の値に設定された13番目のオクテットはSYN)。
また、どのパケットフィルタリングソリューションを使用しているかはわかりませんが、ログ機能があるかどうかを調べる必要があります。デフォルトではすべて拒否してからhttp/https/sshを許可し、ログをチェックして他に何がブロックされているかを確認します。
ログによって発信TCP=パケットをパケットによってPCAP形式でディスクに書き込む場合、次のコマンドを使用できます。
$ tcpdump -nni eth0 -w outgoing-tcp.pcap ip src 192.168.1.1 and tcp
インターフェースをマシンのインターフェースに置き換え、IPアドレスをマシンのIPアドレスに置き換えます。古いもののように、使用しているtcpdumpのバージョンに応じて、パケットを96バイトのように切り捨てるのではなく記録したい場合は、スナップ長を切り捨てないように設定する「-s 0」オプションを追加できますパケット。ただし、最近のtcpdumpバージョンでは、すべてではないにしても、ほとんどのプラットフォームでデフォルトで65535に設定されているため、おそらくこれらは必要ありません。