Forum Mjukvara Linux och övriga operativsystem Tråd

Finjustera brandvägg. (iptables)

1
Skriv svar
Permalänk
Medlem

Finjustera brandvägg. (iptables)

Jag har kört en Debian-dator som brandvägg och router rätt länge nu.
Jag använder iptables och ett rätt enkelt script till det.

Nu skulle jag vilja ha lite störe koll på loggningen.
Det största problemet är att all info skrivs ut rakt i den fysiska skärmen på datorn. Det är rätt jobbigt dom få gånger som man sitter i garderoben och fixar med datorn.
Dessutom så tror jag att det drar ganska mycket prestanda när det är mycket som händer, för debian använder inte rent textläge utan något grafiskt med tux som håller en Öl, och det blir segt på den gamla datorn.
1. Hur kan man stänga av att den skriver ut loggen på skärmen?

Dessutom loggas alla dessa rader i /var/log/syslog och /var/log/messages.
Det tycker inte jag ser så bra ut, man hittar ju inte andra meddelanden förutom från brandväggen.
2. Hur kan man byta till en egen loggfil för just iptables?

3. Hur ska man tolka informationen i en sån rad? Är det trafik som blivit dropad eller denyad? Eller är det all trafik som går från och till nätverket?

Det är sånna här jag pratar om:
Sep 4 18:51:02 commodore kernel: IN=eth1 OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:00:00 SRC=2xx.2xx.1xx.1xx DST=2xx.2xx.1xx.2xx LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=2718 DF PROTO=TCP SPT=4630 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0

Jag laddade ner ett program fwlogwatch för att lättare kunna se info.
Det jag vill se på websidan är nekade och dropade försök att komma åt mitt nätverk.
4. Hur ställer man in det?
Får det inte att funka, nu vissas en jäkla massa.

Senast redigerat
Visa signatur

*** Signaturen raderad på grund av för många rader. Läs forumreglerna. /xphaze

Redigera
Citera flera Citera
Permalänk
Medlem

1. Du kan stänga av den genom att kompilera om kärnan, ta bort "Boot logo" eller vad det heter.

Redigera
Citera flera Citera
Permalänk
Medlem

TheDude, tackar för svaret, men jag menade hur man stänger av att den skriver ut loggen på skärmen. Det är ju kul att ha Tux som dricker öl i ena hörnet

Visa signatur

*** Signaturen raderad på grund av för många rader. Läs forumreglerna. /xphaze

Redigera
Citera flera Citera
Permalänk
Medlem

Med egen loggfil till iptables är det någon av dessa funktioner du är ute efter?
IP Network Monitor [iptraf]: http://cebu.mozcom.com/riker/iptraf/
Intrusion detection [snort]: http://www.snort.org/
Network Grapher [MRTG]: http://people.ee.ethz.ch/~oetiker/webtools/mrtg/
Packet sniffer [sniffit]: http://www.securityfocus.com/tools/172

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

aha, trodde du menade att ha bort tux :>

Redigera
Citera flera Citera
Permalänk
Medlem

Jag har gjort så som såhär när det gäller loggningen:
I mitt firewallscript så loggar jag allt som log level 3:
$IPTABLES -A INPUT --jump LOG --log-level 3 --log-prefix "INPUT: "
$IPTABLES -A OUTPUT --jump LOG --log-level 3 --log-prefix "OUTPUT: "
$IPTABLES -A FORWARD --jump LOG --log-level 3 --log-prefix "FORWARD: "

Sen i syslog.conf har jag ändrat så att allt utom level 3 hamnar i /var/log/syslog, med hjälp av denna rad:
*.*;kern.!err;auth,authpriv.none -/var/log/syslog

Detta gör att jag bara får iptables-loggen i /var/log/kern.log, istället för att få den i både /var/log/kern.log, /var/log/syslog och /var/log/messages.

Jag kör ju min brandvägg helt headless, så jag har inte brytt mig om det med outputen till konsollen, men det skulle ändå vara intressant att veta hur man fixar det...

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av nillon
Jag har gjort så som såhär när det gäller loggningen:
I mitt firewallscript så loggar jag allt som log level 3:
$IPTABLES -A INPUT --jump LOG --log-level 3 --log-prefix "INPUT: "
$IPTABLES -A OUTPUT --jump LOG --log-level 3 --log-prefix "OUTPUT: "
$IPTABLES -A FORWARD --jump LOG --log-level 3 --log-prefix "FORWARD: "

Sen i syslog.conf har jag ändrat så att allt utom level 3 hamnar i /var/log/syslog, med hjälp av denna rad:
*.*;kern.!err;auth,authpriv.none -/var/log/syslog

Detta gör att jag bara får iptables-loggen i /var/log/kern.log, istället för att få den i både /var/log/kern.log, /var/log/syslog och /var/log/messages.

Jag kör ju min brandvägg helt headless, så jag har inte brytt mig om det med outputen till konsollen, men det skulle ändå vara intressant att veta hur man fixar det...

"(Gammal tråd, men kan vara bra att ha ett ordentligt svar)

Det är ett vanligt problem att iptables loggar till console i Debian. Såhär löser du det smidigast:

1. Editera filen /etc/init.d/klogd och byt ut KLOGD="" mot KLOGD="-c 4".
2. Starta om klogd genom kommandot "/etc/init.d/klogd restart".

Iptables använder sig av kernelmeddelanden för att rapportera "incidenter" och övriga meddelanden från regler man definierat med LOG. Dessa meddelanden snappas upp och loggas av kernelloggern klogd. Defaultvärdet för klogd är att logga alla meddelanden till konsollen som har prioritetsnivå lägre än 7 (debug). Genom att starta klogd med flaggan "-c 4" skrivs endast meddelanden med nivå under 4 (0-3 är för mer eller mindre allvarliga fel) till konsollen, vilket gör att dina meddelanden från iptables endast hamnar i den avsedda loggfilen. Detfaultvärdet på meddelanden från iptables är nämligen 4 (warning), om man inte defninerar det explicit med flaggan "--log-level X", där X är antingen ett numeriskt värde (0-7), eller motsvarande keyword (debug, info, notice, warning, err, crit, alert eller emerg)." -JohanS

(Orkar inte leta efter tråden där JohanS skrev det från början)

Visa signatur
Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara