[+]Przeniesienie logow iptables do osobnego pliku.

Ogólne pytania dotyczące systemu
Matrixx
Beginner
Posty: 191
Rejestracja: 03 maja 2016, 16:30

Re: Przeniesienie logow iptables do osobnego pliku.

Post autor: Matrixx » 19 września 2017, 19:04

Moje suffixy:
"ipT4 DROP INPUT: "
"ipT4 DROP INVALID IN: "
"ipT4 Outbound Connection: "
"ipT4 DROP INVALID OUT: "

Awatar użytkownika
Morfik
Beginner
Posty: 112
Rejestracja: 21 lutego 2009, 21:00

Re: Przeniesienie logow iptables do osobnego pliku.

Post autor: Morfik » 19 września 2017, 19:05

No i twórz sobie reguły i testuj logger'em

Awatar użytkownika
marcin1982
Moderator
Posty: 1635
Rejestracja: 05 maja 2011, 12:59
Lokalizacja: Zagłębie Dąbrowskie

Re: Przeniesienie logow iptables do osobnego pliku.

Post autor: marcin1982 » 19 września 2017, 19:06

Dobra, pokaż wyniki poleceń - jedno po drugim w osobnych tagach CODE:

Kod: Zaznacz cały

grep -vE '^[[:space:]]*(#|$)' /etc/rsyslog.conf

Kod: Zaznacz cały

ls -la /etc/rsyslog.d/

Kod: Zaznacz cały

#    iptables -nvL

Awatar użytkownika
Morfik
Beginner
Posty: 112
Rejestracja: 21 lutego 2009, 21:00

Re: Przeniesienie logow iptables do osobnego pliku.

Post autor: Morfik » 19 września 2017, 19:13

I się dziwi, że nie działa, jak dopasowanie jest contains 'ipT4: ' a ciągi ma:

"ipT4 DROP INPUT: "
"ipT4 DROP INVALID IN: "
"ipT4 Outbound Connection: "
"ipT4 DROP INVALID OUT: "

Już widać, czy mam narysować :D ?

Matrixx
Beginner
Posty: 191
Rejestracja: 03 maja 2016, 16:30

Re: Przeniesienie logow iptables do osobnego pliku.

Post autor: Matrixx » 19 września 2017, 19:18

Kod: Zaznacz cały

grep -vE '^[[:space:]]*(#|$)' /etc/rsyslog.conf
$FileOwner root
$FileGroup root
module(load="imuxsock") # provides support for local system logging
module(load="imklog" permitnonkernelfacility="on")
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$RepeatedMsgReduction on
$FileOwner root
$FileGroup root
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$PrivDropToUser syslog
$PrivDropToGroup syslog
$WorkDirectory /var/spool/rsyslog
$IncludeConfig /etc/rsyslog.d/*.conf
if $msg contains 'input1,iptables denied,output1,ipT4' then -/var/log/firewall

Kod: Zaznacz cały

ls -la /etc/rsyslog.d/
total 20
drwxr-xr-x   2 root root  4096 Sep 19 17:56 .
drwxr-xr-x 175 root root 12288 Sep 19 17:22 ..
-rw-r--r--   1 root root  1692 Sep 19 17:55 50-default.conf

Kod: Zaznacz cały

 iptables -nvL
Chain INPUT (policy DROP 143 packets, 15011 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
    0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:67
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:67
    0     0 ACCEPT     tcp  --  lxcbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
    0     0 ACCEPT     udp  --  lxcbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp  --  lxcbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:67
    0     0 ACCEPT     udp  --  lxcbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:67
    0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
    0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:67
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:67
    0     0 ACCEPT     tcp  --  lxcbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
    0     0 ACCEPT     udp  --  lxcbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp  --  lxcbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:67
    0     0 ACCEPT     udp  --  lxcbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:67
72134 4799K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
  148 17270 NFLOG      all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 2/min burst 5 nflog-prefix  "DROP INPUT: " nflog-group 1
 3458 1649K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 NFLOG      all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID limit: avg 2/min burst 5 nflog-prefix  "DROP INVALID IN: "
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      virbr0  0.0.0.0/0            192.168.122.0/24     ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  virbr0 *       192.168.122.0/24     0.0.0.0/0           
    0     0 ACCEPT     all  --  virbr0 virbr0  0.0.0.0/0            0.0.0.0/0           
    0     0 REJECT     all  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 ACCEPT     all  --  *      lxcbr0  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lxcbr0 *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      virbr0  0.0.0.0/0            192.168.122.0/24     ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  virbr0 *       192.168.122.0/24     0.0.0.0/0           
    0     0 ACCEPT     all  --  virbr0 virbr0  0.0.0.0/0            0.0.0.0/0           
    0     0 REJECT     all  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 ACCEPT     all  --  *      lxcbr0  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lxcbr0 *       0.0.0.0/0            0.0.0.0/0           
    0     0 NFLOG      all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID nflog-prefix  "DROP INVALID FWD: "
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID

Chain OUTPUT (policy ACCEPT 19895 packets, 4209K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     udp  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            udp dpt:68
    0     0 ACCEPT     udp  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            udp dpt:68
58331 4264K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 NFLOG      all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID limit: avg 2/min burst 5 nflog-prefix  "DROP INVALID OUT: "
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
Odnosnie iptables to jest dziwna sprawa bo powyzsza komenda przywoluje "stara nieaktualna" konfiguracje.
Natomiast odswierzenie:

Kod: Zaznacz cały

systemctl restart firewall.service
przywoluje "aktualna"konfiguracje:

Kod: Zaznacz cały

 iptables -nvL
Chain INPUT (policy DROP 3 packets, 267 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  990 60699 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    6   489 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 2/min burst 5 LOG flags 0 level 4 prefix "ipT4 DROP INPUT: "
   15  1287 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID limit: avg 2/min burst 5 LOG flags 0 level 4 prefix "ipT4 DROP INVALID IN: "
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID LOG flags 0 level 4 prefix "ipT4 DROP INVALID FWD: "
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID

Chain OUTPUT (policy ACCEPT 344 packets, 64704 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  695 43735 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    5   260 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID limit: avg 2/min burst 5 LOG flags 0 level 4 prefix "ipT4 DROP INVALID OUT: "
    8   416 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID

Awatar użytkownika
dedito
Moderator
Posty: 2245
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: Przeniesienie logow iptables do osobnego pliku.

Post autor: dedito » 19 września 2017, 19:21

To co zapewne miał Morfik na myśli to: dodaj do prefiksów dwukropek lub wywal go z dopasowania.

Matrixx
Beginner
Posty: 191
Rejestracja: 03 maja 2016, 16:30

Re: Przeniesienie logow iptables do osobnego pliku.

Post autor: Matrixx » 19 września 2017, 19:22

@morfik
I się dziwi, że nie działa, jak dopasowanie jest contains 'ipT4: ' a ciągi ma:
Dlatego wczesniej o to zapytalem i dostalem odpowiedz:
Nie musi być caly suffix. W regule masz contain czyli ma zawierać wyraz ipt4.

Awatar użytkownika
Morfik
Beginner
Posty: 112
Rejestracja: 21 lutego 2009, 21:00

Re: Przeniesienie logow iptables do osobnego pliku.

Post autor: Morfik » 19 września 2017, 19:27

No tak ale ty tam nie masz dopasowania, bo pasujesz do ipT4: , a ty tam masz wszędzie jedynie ipT4 i jak ma ci to dopasować?

Awatar użytkownika
marcin1982
Moderator
Posty: 1635
Rejestracja: 05 maja 2011, 12:59
Lokalizacja: Zagłębie Dąbrowskie

Re: Przeniesienie logow iptables do osobnego pliku.

Post autor: marcin1982 » 19 września 2017, 19:28

To teraz jeszcze raz ... wklej aktualny skrypt zapory i /etc/rsyslog.d/50-default.conf.

Matrixx
Beginner
Posty: 191
Rejestracja: 03 maja 2016, 16:30

Re: Przeniesienie logow iptables do osobnego pliku.

Post autor: Matrixx » 19 września 2017, 19:30

Rozumiem ipT4 jako dopasowanie.

Zablokowany