Como Monitorar e Registrar Port Usage e Destination Tentativas de um computador local a partir de um Gateway Linux?

2

Eu tenho acesso a um servidor linux que está atuando como o gateway para uma rede interna.

Existe um dispositivo MagicJack Plus conectado a essa rede via CAT5.

O MagicJack obtém seu ip via DHCP do servidor linux, e eu determinei qual endereço IP foi emitido.

Eu criei esse ip, mas não consegui descobrir nenhuma porta aberta no dispositivo MagicJack Plus.

Estou curioso sobre como ele se comunica, especialmente quais portas ele realmente usa. Gostaria de monitorar quais portas ele usa durante um período de 24 horas. Eu ficaria muito interessado em ver se ele tenta se comunicar com qualquer outro computador que não precise (na rede local).

Por fim, quero bloquear o dispositivo, para que ele tenha acesso apenas ao que precisa e nada mais.

O servidor linux tem apenas um aplicativo web gui e linha de comando, como posso monitorar e registrar a atividade de rede do "IP deste dispositivo" para descobrir quais portas ele realmente usa, o que ele tenta acessar e quanta largura de banda usa?

    
por LonnieBest 18.08.2012 / 11:17

1 resposta

2

Para obter todo o tráfego gerado pelo seu dispositivo, faça o seguinte:

  1. Conecte o dispositivo diretamente na porta do seu host (ou seja, em um adaptador Ethernet dedicado)
  2. Dado eth1 é o nome do adaptador de rede do seu host dedicado para teste (veja acima) use este comando para gravar um log de pacote em um arquivo:

    $ sudo tcpdump -s 65535 -i eth1 -w ~/device.pcap
    
  3. Deixe esse comando em execução por algum período de tempo (como 24 horas).
  4. Use o dispositivo como você costuma fazer para (provavelmente) gerar tráfego.
  5. Interromper o tcpdump com Ctrl-C
  6. Examine o arquivo de despejo de tráfego ~/device.pcap com qualquer ferramenta de sua preferência, por exemplo, wireshark

EDITAR:

Se o seu dispositivo se recusar a funcionar sem um endereço IP, convém configurar um servidor dhcp para ele. Sugiro usar o dnsmasq para esses propósitos, como este (executado em seu host de teste):

# ifconfig eth1 192.168.100.1/24 up
# dnsmasq --bind-interfaces --conf-file= --interface eth1 --listen-address 192.168.122.1 --dhcp-range 192.168.100.2,192.168.100.254
    
por 18.08.2012 / 11:44