Cuando existe una maquina linux enrutando, es posible llevar un control de las conexiones que pasan por ella y a traves de ella, con esto es posible distinguir que es lo que esta pasando con las maquinas de la LAN, como por ejemplo
En Debian y en bastantes otras distribuciones existe netstat.
netstat permite ver el estado de conexiones de una maquina y bastantes otras cosas mas, pero nos centraremos en lo primero.
Una vez dentro de la maquina que enruta (Por SSh), hay que observar que esta pasando, ejecutando netstat -nt
Con esto podran ver cuales son las conexiones activas y que tipo de conexiones son en base a los puertos que usan. Esta informacion es solamente de las conexiones que entran y salen de la maquina linux que enruta a la red, pero no da informaciones de las conexiones de las maquinas que estan dentro de la red y saliendo NAteadas por ella. ¿Como puedo ver que pasa con las maquinas internas?
Existe una aplicacion de modo consola similar a netstat, llamada netstat-nat, en debian basta con hacer apt-get install netstat-nat para tener habilitada dicha funcion y sacarle provecho. ¿Como se usa?
Este comando se ejecuta en consola con atributos de super usuario y en la maquina que enruta, de la forma
netstat-nat Esto comenzara a arrojar una serie de informacion referente a que conexiones se estan estableciendo desde el interior de la REd y hacia donde van. Es posible ejecutarlo de la forma netstat-nat -n para evitar que resuelva nombres y aumente la velocidad en que entrea la informacion.
Tras ejecutar netstat-nat -n he visto que hay ciertas maquinas que estan abriendo un numero execivo de conexiones desde un puerto X, y tras averiguar a que corresponde dicho puerto, me di cuenta que era un cliente p2p. Aqui 2 soluciones: O se habla con el usuario o se restringe por fuerza bruta :D. El asunto final es, que ya podemos monitorar que pasa al interior de la red si es que estamos enrutando con linux.