1. socat을 이용한 포트 91 → 52.23.233.265:22 포워딩
🔹 socat 설치
sudo apt update
sudo apt install socat
🔹 91번 포트에서 52.23.233.265:22로 트래픽 포워딩
socat TCP-LISTEN:8080,fork TCP:remote-host:80
socat TCP-LISTEN:164,fork TCP:126.249.190.164:22 > /var/log/socat.log 2>&1 &
socat -d -d TCP-LISTEN:164,fork TCP:126.249.190.164:22 2>&1 | tee /var/log/socat.log
nohup socat TCP-LISTEN:164,fork TCP:126.249.190.164:22 > /var/log/socat.log 2>&1 &
socat -v TCP4-LISTEN:164,reuseaddr,fork SYSTEM:/usr/local/bin/socat_logger.sh
socat -v TCP4-LISTEN:122,reuseaddr,fork SYSTEM:/socat_script/dev_socat.sh:q

socat TCP-LISTEN:164,fork TCP:126.249.190.164:22 > /var/log/socat.log
socat -v TCP-LISTEN:164,fork SYSTEM:"echo [\$(date '+%Y-%m-%d %H:%M:%S')] Connection from \$(echo '\$SOCAT_PEERADDR') >> /var/log/socat_connections.log"

socat -v TCP-LISTEN:164,reuseaddr,fork SYSTEM:'echo "FROM \$(date) \$(echo \$SOCAT_PEERADDR:\$SOCAT_PEERPORT) TO 126.249.190.164:22" >> /var/log/socat.log; exec socat - TCP:126.249.190.164:22'

TCP-LISTEN:91 → 91번 포트를 리스닝
fork → 다중 연결을 지원하도록 포크
TCP:52.23.233.265:22 → 트래픽을 해당 IP의 22번 포트로 전달
`ps -eaf | grep -v grep | grep socat | awk '{print $2}'

🔹 백그라운드 실행 (nohup 사용)
nohup socat TCP-LISTEN:91,fork TCP:52.23.233.265:22 > /var/log/socat.log 2>&1 &

이렇게 하면 로그가 /var/log/socat.log 파일에 기록되며, 프로세스가 백그라운드에서 실행됩니다.

 2. 91번 포트의 트래픽 로그 확인하는 방법
🔹 socat 디버그 모드로 로그 저장
socat -d -d TCP-LISTEN:91,fork TCP:52.23.233.265:22 2>&1 | tee /var/log/socat.log
-d -d → 디버그 모드 활성화
2>&1 → 표준 오류를 표준 출력으로 리디렉션
tee → 로그를 파일로 저장하면서 동시에 화면 출력

🔹 실시간 로그 확인
tail -f /var/log/socat.log

3. tcpdump를 사용한 포트 91 트래픽 로깅
socat 로그가 부족하다면 tcpdump를 이용해 패킷을 캡처

🔹 설치
sudo apt install tcpdump

🔹 포트 91에 대한 실시간 패킷 확인
sudo tcpdump -i any port 91 -nn

-i any → 모든 인터페이스에서 캡처
port 91 → 91번 포트의 트래픽만 필터링
-nn → 호스트네임 및 포트를 변환하지 않고 숫자로 표시

🔹 패킷을 파일로 저장
sudo tcpdump -i any port 91 -w /var/log/port91.pcap

이후, Wireshark로 분석 가능.

4.  Wireshark 설치
sudo apt update
sudo apt install wireshark -y

🔹 설치 후 비root 사용자도 패킷 캡처할 수 있도록 설정:
sudo dpkg-reconfigure wireshark-common
sudo usermod -aG wireshark $(whoami)
newgrp wireshark
이후 로그아웃 후 다시 로그인하면 적용됩니다.

🔹 port91.pcap 파일 Wireshark에서 열기
wireshark port91.pcap

https://www.wireshark.org/  에서 윈도우용 프로그램 설치 후 로컬어세 해당 캡쳐파일 분석 가능.

*******************
보안정책 : iptables
22번 ssh포트를 제외한 모든 포트에 대한 가능한 아이피 제한 설정 : 아이피 변경시 해당 아이피 삭제 후 신규 아이피 추가