| AUTOR |
PORUKA |
|
|
Oglašeno: 02 Mar 06 15:22 Izmenio: gen2brain
|
|
Ok, nikad se nisam nesto puno igrao sa iptabelicama, el moze neko da mi pomogne sa ovim. Znaci hocu da imam log sa svim DROP paketima. Za sad imam ovo u syslog-ng.conf:
destination iptables { file("/var/log/iptables"); };
filter f_iptables { facility(kern) and match("IN=[A-Za-z0-9]* OUT=[A-Z
a-z0-9]*"); };
log { source(src); filter(f_iptables); destination(iptables); };
Ucitao sam ipt_LOG modul... sta jos treba, tj. jer moze neko da navede neki primer kakav rule treba staviti?
|
|
|
|
 → RE: iptables log
Oglašeno: 02 Mar 06 15:44
|
|
ja logujem neke stvari, evo ti recimo ovo, ja koristim:
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG --log-prefix "LOG_XMAS_SCAN "
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j LOG --log-prefix "LOG_NULL_SCAN "
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN -j LOG --log-prefix "LOG_SYNFIN_SCAN "
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOG --log-prefix "LOG_SYNRST_SCAN "
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j LOG --log-prefix "LOG_FINRST_SCAN "
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j LOG --log-prefix "LOG_FIN_SCAN "
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j LOG --log-prefix "LOG_URG_SCAN "
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,ACK FIN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags ACK,URG URG -j DROP
Dakle, das mu -j LOG, a onda mozes da dodas --log-prefix "<string>" da bi se ti sam lakse snasao u logu, posto ce on da doda <string> kad pise u log. Mozes da dodas i --log-level <n> gde je <n> broj koji definise log level, naravno :) da ne lupam od koje do koje vrednosti idu brojevi, proveri sam, sto je broj veci, log je "manje vazan". Ja korisitim ili default (ne definisem log level) ili koristim --log-level 7 koji sve smesta u "warn" grupu.
|
|
|
|
|
→ RE: iptables log
Oglašeno: 02 Mar 06 16:12
|
|
Da li je -j LOG isto što i -j DROP samo što zapiše i log?
|
|
|
|
|
→ RE: iptables log
Oglašeno: 03 Mar 06 00:13
|
|
Jok, -j LOG ga samo loguje, posle u daljim pravilima mozes da odredis sta dalje sa tim paketima. Recimo:
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG --log-prefix "LOG_XMAS_SCAN "
loguje te pakete, a
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
te iste baca.
|
|
|
|
|
→ RE: iptables log
Oglašeno: 03 Mar 06 10:24
|
|
Ok, al ako mu ja stavim recimo --log-prefix "IPTABLES" onda bi ovo trebalo da radi :
destination iptables { file("/var/log/iptables"); };
filter f_iptables { facility(kern) and match("IPTABLES"); };
log { source(src); filter(f_iptables); destination(iptables); };
Medjutim, ne radi... loguje on meni u kern.log ali ja hocu da sve to izdvojim u iptables fajl...
|
|
|
|
|
→ RE: iptables log
Oglašeno: 03 Mar 06 18:11
|
|
Iptables is not logging to sysylog-ng
Malo je stariji thread , ali meni je pomogao:
$ egrep firewall\|pp /etc/syslog-ng/syslog-ng.conf
destination firewall { file("/var/log/firewall.log"); };
filter f_fwall { match("ppp0"); };
log { source(kernsrc); filter(f_fwall); destination(firewall
); };
pz
|
|
|
