Wydzielenie logow iptables z ogolnej puli logow sysloga.

Ogólne pytania dotyczące systemu
Matrixx
Beginner
Posty: 235
Rejestracja: 03 maja 2016, 16:30

Re: Wydzielenie logow iptables z ogolnej puli logow sysloga.

Post autor: Matrixx »

Mam tak:

Kod: Zaznacz cały

#!/bin/sh
iptables -F
iptables -X
# what was incoming but denied (optional but useful).
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables_INPUT_denied: " --log-level 7
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP

# Log any traffic which was sent to you
# for forwarding (optional but useful).
iptables -A FORWARD -m limit --limit 5/min -j LOG --log-prefix "iptables_FORWARD_denied: " --log-level 7
iptables -P FORWARD DROP

iptables -I OUTPUT -m conntrack --ctstate NEW,INVALID -j LOG --log-prefix "OUTPUT"
iptables -P OUTPUT ACCEPT

ip6tables -F
ip6tables -X
# Log what was incoming but denied (optional but useful).
ip6tables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "ip6tables_INPUT_denied: " --log-level 7
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
ip6tables -P INPUT DROP

# Log any traffic which was sent to you
# for forwarding (optional but useful).
ip6tables -A FORWARD -m limit --limit 5/min -j LOG --log-prefix "ip6tables_FORWARD_denied: " --log-level 7
ip6tables -P FORWARD DROP

ip6tables -P OUTPUT ACCEPT
Awatar użytkownika
pawkrol
Moderator
Posty: 939
Rejestracja: 03 kwietnia 2011, 10:25

Re: Wydzielenie logow iptables z ogolnej puli logow sysloga.

Post autor: pawkrol »

A w rsyslog:

Kod: Zaznacz cały

:msg, contains, "iptables: " /var/log/iptables.log
& ~
Jak widzę masz iptables_ (choć nie we wszystkich regułach). Ujednolić je i taki przedrostek daj w rsyslog zamiast iptables: bo takiego nie masz.

Generalnie powinno być tak, że plik iptables.log powinien się tworzyć automatycznie po starcie rsyslog. Może spróbuj ręcznie go stworzyć, jeśli to co wyżej nie pomoże.
Matrixx
Beginner
Posty: 235
Rejestracja: 03 maja 2016, 16:30

Re: Wydzielenie logow iptables z ogolnej puli logow sysloga.

Post autor: Matrixx »

Rozwiazanie zagadki, moze sie komus przyda.
- W regolach iptables stosujemy prefixy.
np,

Kod: Zaznacz cały

 iptables -A FORWARD -m limit --limit 5/min -j LOG --log-prefix "iptables_FORWARD_denied: " --log-level 7
- Recznie tworzymy plik "firewall" w lokalizacji /var/log/......

Kod: Zaznacz cały

 touch /var/log/firewall
- Nadalem prawa zapisu

Kod: Zaznacz cały

 chmod 755 /var/log/firewall
- Modyfikujemy plik /etc/rsyslog.conf dodajac do niego:

Kod: Zaznacz cały

 if $msg contains 'tresc prefixa:' then -/var/log/firewall

Restart systemu.

I juz mozemy analizowac w pliku firewall, ktore forwardowane polaczenia zostaly zablokowane. :D
ODPOWIEDZ