iptables logging flooding / var / log / messages

Navegue suas respostas
4

Estou executando o Ubuntu Server, muito recente, que é configurado como um roteador NAT.

Eu tenho um script iptables que é executado durante a inicialização para configurar NAT, encaminhamento de porta, etc.

Estou tentando diagnosticar um problema não relacionado com a caixa, mas / var / log / messages, / var / log / syslog e /var/log/kern.log estão todos inundados com mensagens do iptables como esta: 

Oct 21 11:25:27 skip kernel: [39380.812663] INPUT packet died: IN=eth1 OUT= MAC=00:40:63:d9:7c:5b:00:03:fa:a9:d7:4a:08:00 SRC=24.207.21.237 DST=94.192.123.123 LEN=111 TOS=0x00 PREC=0x00 TTL=54 ID=16494 PROTO=UDP SPT=48865 DPT=20663 LEN=91

Não consigo encontrar nenhuma documentação que deixe claro como alterar a maneira como os logs do iptables são produzidos. O ideal é que NENHUMA coisa do iptables vá para qualquer um dos arquivos acima, mas para / var / log / iptables.

    
por tomfanning 21.10.2009 / 12:30

2 respostas

5

É esse roteiro. Remova o registro.

Se você realmente quer logs (e se você não está lendo, então por que se incomodar?) então use ULOGD:

link

    
por 21.10.2009 / 12:36
3

I can't find any documentation that makes it clear how to change the way iptables logs output. What I ideally want is for NONE of the iptables stuff to go to any of the above files, but instead to /var/log/iptables.

Por padrão, o material iptables é enviado para o syslog com um recurso de kern e uma prioridade de informações.

Você pode optar por mudar para um syslog mais avançado e então construir um filtro baseado em um padrão, ou você pode simplesmente enviar todos os arquivos do kern.info para / var / log / iptables. Você pode obter coisas além do iptables no seu log do iptables.

Supondo que você ainda não tenha substituído o syslog instalado. Você pode querer fazer alterações como deseja são mostradas pelo diff abaixo. 

--- syslog.conf 2008-08-29 17:40:57.000000000 -0700
+++ syslog.conf.tmp 2009-10-21 10:06:14.000000000 -0700
@@ -8,14 +8,17 @@
 #

 auth,authpriv.*            /var/log/auth.log
-*.*;auth,authpriv.none     -/var/log/syslog
+*.*;kern.!info;\
+    auth,authpriv.none     -/var/log/syslog
 #cron.*                /var/log/cron.log
 daemon.*           -/var/log/daemon.log
-kern.*             -/var/log/kern.log
+kern.*;kern.!info      -/var/log/kern.log
 lpr.*              -/var/log/lpr.log
 mail.*             -/var/log/mail.log
 user.*             -/var/log/user.log

+kern.info          -/var/log/iptables.log
+
 #
 # Logging for the mail system.  Split it up so that
 # it is easy to write scripts to parse these files.
@@ -37,6 +40,7 @@
    auth,authpriv.none;\
    news.none;mail.none -/var/log/debug
 *.=info;*.=notice;*.=warning;\
+        kern.!info;\
    auth,authpriv.none;\
    cron,daemon.none;\
    mail,news.none      -/var/log/messages

Ao editar as regras do iptables, você pode alterar a prioridade das entradas de log enviadas para o syslog e adicionar um prefixo para filtrar com um syslog mais avançado.

Ou você pode usar o alvo ULOG como o LapTop006 mencionado e depois passá-lo para um daemon de espaço do usuário como ulogd , espectro ou outros.

    
por 21.10.2009 / 19:14

Tags

Parar conclusão da aba bash de pensar que eu quero cd em diretórios .svn Certificado SSL Múltiplo no Apache