O que mais é necessário para que o iptables faça o login neste arquivo que eu criei?

Navegue suas respostas
2

Eu quero criar um arquivo iptables.log que registre todas as tentativas de DROP e invasão. Aqui está o que eu fiz, passo a passo:

1) No meu arquivo de regras do iptables, eu coloco o seguinte: 

-A INPUT -j LOG --log-level 4 --log-ip-options --log-prefix "iptables: "

-P INPUT DROP
-P OUTPUT DROP
-P FORWARD DROP

# and then the other rules to open up SSH

Então, uso iptables-restore para aplicar as alterações.

2) Eu criei um arquivo iptables.conf dentro de /etc/rsyslog.d/ , com essa regra dentro de: 

:msg, startswith, "iptables: " -/var/log/iptables.log
& ~

3) Dentro de /etc/rsyslog.d/50-default.conf , eu coloquei isto: 

#iptables
kern.warning /var/log/iptables.log

4) Eu reinicio o rsyslog daemon.

Mas isso não parece ser suficiente para alcançar meu objetivo. O que mais é necessário fazer?

Além disso, devo criar uma regra para -A OUTPUT -j LOG ou é inútil?

    
por anthony01 24.09.2012 / 04:46

2 respostas

2

Não é um item imediato, mas mais um aspecto de 'limpeza' que é simplesmente um bom hábito.

Eu recomendo configurar a rotação de log para que você não preencha sua partição de log com o novo arquivo de log. A maioria dos serviços solta um arquivo de configuração em /etc/logrotate.d/. E o log de pacotes pode ser muito rápido.

Como este é um novo arquivo de log, você terá que adicioná-lo a um existente como o seu /etc/logrotate.d/rsyslog.conf.

    
por 24.09.2012 / 05:29
0

Funcionou para nós (Debian 6) apenas incluindo a regra adicional em /etc/rsyslog.d/ e mantendo intacto o arquivo rsyslog.conf.

Confirmamos que as regras de diretório são executadas "antes" do núcleo rsyslog.conf e "& ~" faz com que as entradas correspondentes parem de procurar pelas regras a seguir.

Isto é, um arquivo dentro de /etc/rsyslog.d/ com 

:msg, startswith, "Firewall: " -/var/log/firewall.log
& ~

fez o trabalho como tendo também uma entrada para kern.warning eu entendo seria duplicar regras.

No nosso caso, as regras do iptables são criadas pelo firewall do CSF, então talvez o problema esteja lá. Regras de firewall parecem 

19    2140  113K LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 30/min burst 5 LOG flags 0 level 4 prefix 'Firewall: *TCP_IN Blocked* '
    
por 22.02.2013 / 13:48

Tags

validação PEAP contra um domínio secundário diferente? Amazon AWS VPC como abrir uma porta? [duplicado]