Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Wydzielenie logow iptables z ogolnej puli logow sysloga.

https://www.debian.pl/viewtopic.php?t=33883

Strona 2 z 2

Re: Wydzielenie logow iptables z ogolnej puli logow sysloga.

: 10 maja 2016, 11:51
autor: Matrixx
Mam tak:

Kod: Zaznacz cały

#!/bin/sh
iptables -F
iptables -X
# what was incoming but denied (optional but useful).
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables_INPUT_denied: " --log-level 7
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP

# Log any traffic which was sent to you
# for forwarding (optional but useful).
iptables -A FORWARD -m limit --limit 5/min -j LOG --log-prefix "iptables_FORWARD_denied: " --log-level 7
iptables -P FORWARD DROP

iptables -I OUTPUT -m conntrack --ctstate NEW,INVALID -j LOG --log-prefix "OUTPUT"
iptables -P OUTPUT ACCEPT

ip6tables -F
ip6tables -X
# Log what was incoming but denied (optional but useful).
ip6tables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "ip6tables_INPUT_denied: " --log-level 7
ip6tables -A INPUT -i lo -j ACCEPT
ip6tables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
ip6tables -P INPUT DROP

# Log any traffic which was sent to you
# for forwarding (optional but useful).
ip6tables -A FORWARD -m limit --limit 5/min -j LOG --log-prefix "ip6tables_FORWARD_denied: " --log-level 7
ip6tables -P FORWARD DROP

ip6tables -P OUTPUT ACCEPT

Re: Wydzielenie logow iptables z ogolnej puli logow sysloga.

: 10 maja 2016, 12:22
autor: pawkrol
A w rsyslog:

Kod: Zaznacz cały

:msg, contains, "iptables: " /var/log/iptables.log
& ~
Jak widzę masz iptables_ (choć nie we wszystkich regułach). Ujednolić je i taki przedrostek daj w rsyslog zamiast iptables: bo takiego nie masz.

Generalnie powinno być tak, że plik iptables.log powinien się tworzyć automatycznie po starcie rsyslog. Może spróbuj ręcznie go stworzyć, jeśli to co wyżej nie pomoże.

Re: Wydzielenie logow iptables z ogolnej puli logow sysloga.

: 16 maja 2016, 12:11
autor: Matrixx
Rozwiazanie zagadki, moze sie komus przyda.
- W regolach iptables stosujemy prefixy.
np,

Kod: Zaznacz cały

 iptables -A FORWARD -m limit --limit 5/min -j LOG --log-prefix "iptables_FORWARD_denied: " --log-level 7
- Recznie tworzymy plik "firewall" w lokalizacji /var/log/......

Kod: Zaznacz cały

 touch /var/log/firewall
- Nadalem prawa zapisu

Kod: Zaznacz cały

 chmod 755 /var/log/firewall
- Modyfikujemy plik /etc/rsyslog.conf dodajac do niego:

Kod: Zaznacz cały

 if $msg contains 'tresc prefixa:' then -/var/log/firewall
Restart systemu.

I juz mozemy analizowac w pliku firewall, ktore forwardowane polaczenia zostaly zablokowane. :D
Strefa czasowa UTC+02:00
Strona 2 z 2

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl