Я регистрирую все входящие и исходящие IP-соединения и порты на моем сервере Linux с помощью IPtables LOG. Теперь я хочу зарегистрировать службы, к которым эти IP-адреса подключаются на сервере.
Например, если подключение осуществляется к порту 80, то имя службы регистрируется как httpd. Возможно ли это с логированием IPtables? Ниже приведены правила, которые я использую прямо сейчас:
-A INPUT -j LOG --log-prefix "IPs INCOMING"
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s x.x.x.x/8 -j ACCEPT
-A INPUT -s x.x.x.x/12 -j ACCEPT
-A INPUT -s x.x.x.x/16 -j ACCEPT
-A OUTPUT -j LOG --log-prefix "IPs OUTGOING"
Вы можете сделать это примерно так:
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j LOG --log-prefix "HTTP connection"
Это нужно будет вставить перед любым соответствием -j ACCEPT правило.
AFAIK не существует способа иметь общую строку журнала, которая разрешает имя службы из порта для целей установки префикса журнала; это также не сработало бы, если бы вы, например, прослушивали HTTP на любом порту, кроме 80 или 443.