Iptable里有没有办法通过日志记录来记录下请求的URL地址？

feiyi

Iptable里有没有办法通过日志记录来记录下请求的URL地址？



iptables -A FORWARD -p tcp -j LOG --log-level debug

#比如这个
iptables -I FORWARD -j DROP -p tcp -s 0.0.0.0/0 -m string --string "cmd.exe"   -j LOG --log-level debug

#有没有可能记录下来正在访问这个的URL，比如他可能是 abc.com/abc/cmd.exe ?


#比如这个有没有可能记录下来正在访问80端口的所有URL？

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j LOG --log-level debug

#当前只记录下类似这样的
Nov 25 18:18:26 localhost kernel: IN=br0 OUT= PHYSIN=eth0 MAC=00:15:17:b5:bc:b4:00:1d:0f:0e:02:95:08:00 SRC=192.168.2.5 DST=192.168.2.9 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=38736 DF PROTO=TCP SPT=63284 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0

#没法知道请求的URL。

比如L7-filter等有没有可能实现这个？

不知那位兄弟知道如何解决这个？

非常感谢您的帮助。

platinum

iptables 没有现成的东西，但如果你配置了 squid 并使所有上网者都通过它的话，它是可以记录的
否则，你只能自己写一个 module 来实现上述功能了

clusterlee

在Netfilter下写个modules把，过滤下HTTP请求包，提取URL 写到日志中

feiyi

谢谢。

feiyi

squid 等只能实现透明代理，用户还是可以看得出来被监控，并且大流量情况下可能性能上有问题。

看来可能只能写个module了。

platinum

原帖由 feiyi 于 2009-11-26 10:29 发表
squid 等只能实现透明代理，用户还是可以看得出来被监控，并且大流量情况下可能性能上有问题。

看来可能只能写个module了。

什么是透明代理？
透明代理的重点就在于“透明”，用户不知道你被监控了
另外，流量大也不会对性能有问题，和性能有关的是每秒请求数量
至于硬盘读写瓶颈，你完全可以采用 tmpfs 的方法来实现，用户根本不知道前面有设备

saiman

这种情况我都是拿squid来做代理的，iptable好像没有记录的方法。

况且，我现在还发现，拿squid做代理，加上访问所需的用户名和密码，还能阻止一些downloader病毒的下载，确实比iptable实用些。

feiyi

透明代理，比如squid 只是用户是透明，但后端的服务器他还是可以知道监控的服务器IP，比如通过 REMOTE_ADDR 就可以得到了，并且如果流量太大一般的机器是很难承受后端的大流量机器的访问的。


所以我想用 iptable实现， 当用户访问后端的HTTP请求时，只是记录下来访问的URL地址，便于我们分析安全形为。

可能需要写一个 module 把请求80端口的包，解开，然后取到 http地址。

谢谢

platinum

如果这样的话，用 iptables 的 layer7 模块就可以了，在代码里只需添加一个 if 判断是否是 http 及判断后加个 printk 即可
这样最简单了，呵呵

feiyi

非常感谢您的帮助。