Logging de comunicação entre duas VMs

2

Estou tentando configurar o "laboratório de malware" descrito em este documento .
Até agora, eu configurei sistema de convidado do Windows , adicionando um adaptador de rede somente para host e definindo isso (desculpe se os nomes não estão exatamente corretos, eu não tenho uma versão em inglês) ):

    - Endereço IP - 10.0.0.3
    - Máscara de sub-rede - 255.255.255.0
    - Gateway padrão - não definido
    - DNS preferido - 10.0.0.4
    - DNS alternativo - não definido

E um sistema convidado Linux - Ubuntu 9.04 - com dois adaptadores de rede - Bridged (eth0) e somente host (eth1), e definindo o endereço IP eth1 como 10.0.0.4, deixando a eth0 ser definido pelo DHCP. Então, eu configurei o iptables como descrito no documento, por exemplo:

iptables -F -t nat  
iptables -F -t mangle  
iptables -t mangle -P PREROUTING ACCEPT  
iptables -t mangle -P OUTPUT ACCEPT  
iptables -t nat -P PREROUTING ACCEPT  
iptables -t nat -P POSTROUTING ACCEPT  
iptables -t nat -P OUTPUT ACCEPT  
iptables -t mangle -A PREROUTING -i eth0 -j ACCEPT  
iptables -t mangle -A PREROUTING -p udp -i eth1 -d 10.0.0.3 --dport 53 -j ACCEPT  
iptables -t mangle -A PREROUTING -p tcp -i eth1 --dport 80 -j ACCEPT  
iptables -t mangle -A PREROUTING -p tcp -i eth1 -d 10.0.0.3 --dport 6000:7000 -j ACCEPT  
iptables -t mangle -A PREROUTING -i eth1 -j ULOG  
iptables -t mangle -A PREROUTING -i eth1 -j DROP  

Agora, quando eu tento pingar o sistema windows a partir do sistema Linux, ele não responde, acho que isso é perfeitamente normal, porque o iptables está bloqueando a resposta do ping. O mesmo quando tento fazer ping no sistema Linux a partir do Windows. Mas quando eu tento acessar qualquer página da web de dentro do sistema Windows, eu esperaria que essa ação fosse registrada pelo iptables. Mas a coisa é, eu não vejo nenhum desses tipos de linhas no arquivo de log (se eu estou olhando no lugar certo, é isso :) :) É em / var / log / messages, não é? Então, o que você acha que pode ser o problema aqui?

Devo observar que esta é a primeira vez que estou usando o linux, então não espere NENHUM conhecimento prático do Linux ... :) Além disso, como o inglês não é minha língua materna, sinta-se à vontade para apontar sem erros gramaticais ... :)

Obrigado por qualquer conselho.

    
por sYnfo 01.09.2009 / 15:52

2 respostas

2

O link para o seu documento está quebrado, mas parece que você está tentando configurar o sistema Linux como um roteador entre a VM do Windows e o mundo externo.

De acordo com sua explicação, você não definiu um gateway padrão na máquina Windows. Portanto, ele não sabe que para chegar à Internet é necessário passar pela máquina Linux. Você pode confirmar isso tentando executar o ping 8.8.8.8 da VM do Windows; Se você receber uma resposta, seu gateway está configurado corretamente. Se você não receber uma resposta, tente configurar o gateway padrão na máquina Windows como 10.0.0.4 e tente novamente.

    
por 09.06.2010 / 16:39
1

Se bem me lembro, o nível de log padrão do iptables, se não especificado, é 7 (debug), então verifique o /etc/syslog.conf para encontrar onde as mensagens de depuração serão enviadas. Eu acho que / var / log / debug.

    
por 30.09.2009 / 14:10