IPTables - custom logovanie

Logovani je rezie navic a moc se to nedela, pokud nechces odchytavat nejaky specielni provoz, ale proc to zase neotestovat rovnou tcpdumpem ? Jedine co si predstavuji je logovani pro pripady dokazovani pristupu. Pokud se nepletu tak logovani se resi pres syslog do jednoho souboru a rozlisovani podle --log-prefix a prislusnych pravidel. Co stim udelas potom je uplne jedno.

21.4.2010 11:54 ubuntak
Rozbalit Rozbalit vše Re: IPTables - custom logovanie

S tvrzenim "moc se to nedela" nesouhlasim-loguje se porad a pokud chces dohledat treba utoky apod tak neni jina moznost. Proste logovat vsechno co se da. Stroj to nevytezuje temer vubec. Ovsem zavisi na nastaveni. Kdyz je limit nastaven na 1000packet/s tak pak se to projevi ze ;-)

Co se tyce otazky tak logovat zvlast do souboru primo nepujde. Ale nic ti nebrani prochazet pomoci nejakeho scriptu(bash, perl, ...) spousteneho z cronu log a z nej parsovat do dalsiho souboru tebou pozadovane zaznamy. Pomoci iptables -j LOG --help si zjistis co se da nastavit.

21.4.2010 11:55 ubuntak
Rozbalit Rozbalit vše Re: IPTables - custom logovanie

jeste doplnim iptables -m limit --help pro nastaveni limitu

21.4.2010 12:28 pht
Rozbalit Rozbalit vše Re: IPTables - custom logovanie

Ještě jde použít -j ULOG a cpát to do toho skriptu rovnou bez mezisouborů.

Logovani do samostatneho souboru jze:

http://www.cyberciti.biz/tips/force-iptables-to-log-messages-to-a-different-log-file.html

21.4.2010 13:56 ubuntak
Rozbalit Rozbalit vše Re: IPTables - custom logovanie

To nikdo nepopira. Ale nelze to provest tak jak by chtel tazatel. Teda jak pise, ze chce rok-mesic-den dale rozdelit ACCEPT, REJECT a DROP atd. Timto dosahnes jen presmerovani logovani iptables do samostatneho souboru, ale ostatni stejne musis resit scriptem. Takze uz bude lepsi, podle me, to nechat pohromade v syslogu ci messages a parsovat to od tama.

21.4.2010 13:57 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: IPTables - custom logovanie

To není moc dobrý návod. Za prvé: pokud místo kern.warning nenapíšete kern.=warning, budou se vám do toho iptables.log zapisovat i všechny zprávy s vyšší prioritou. Za druhé: musel byste nějak donutit jádro, aby negenerovalo žádné jiné zprávy úrovně warning než ty od netfilteru. Praktičtější je použít syslog-ng a jeho schopnost třídit zprávy i podle výskytu vzorků.

Navíc i kdyby to fungovalo, vůbec to neřeší problém tazatele.

10.6.2010 11:43 maors
Rozbalit Rozbalit vše Re: IPTables - custom logovanie

Takze logovanie do samostatneho suboru som vyriesil v konfiguracnom subore /etc/rsyslog.conf:

if $msg contains 'FW> ACCEPT INPUT' then /var/log/iptables/accept-input.log
if $msg contains 'FW> ACCEPT OUTPUT' then /var/log/iptables/accept-output.log
if $msg contains 'FW> ACCEPT FORWARD' then /var/log/iptables/accept-forward.log
if $msg contains 'FW> DROP INPUT' then /var/log/iptables/drop-input.log
if $msg contains 'FW> DROP OUTPUT' then /var/log/iptables/drop-output.log
if $msg contains 'FW> DROP FORWARD' then /var/log/iptables/drop-forward.log

Samozrejme, v iptables v jednotlivych pravidlach v prislusnych retaziach musia byt spravne retazce FW> ACCEPT INPUT.

Dalej, logrotate ma nakonfigurovane:

/var/log/iptables/accept-input.log
/var/log/iptables/accept-output.log
/var/log/iptables/accept-forward.log
/var/log/iptables/drop-input.log
/var/log/iptables/drop-output.log
/var/log/iptables/drop-forward.log
{
 rotate 90
 daily
 dateext
 missingok
 nomail
 compress
 delaycompress
 sharedscripts
 postrotate
 reload rsyslog >/dev/null 2>&1 || true
 endscript
}

Teraz uz len vyriesit obsah jednotlivych logov tak, aby boli prehladnejsie (more human-readable)

Dotaz: IPTables - custom logovanie

Odpovědi