iptables log

Linux-kezdő

iptables log

  • 5483 megtekintés

( Willow | 2005. 02. 11., p – 19:15 )

szeretném külön fileba tárolni a tűzfal logját, mégpedig ami a csomag eldobásokról küld.
az ok, hogy a kern.* küldi, de mást is küld.
milyen szintre esnek a drop logok?(debug,info,err)

( Willow | 2005. 02. 11., p – 19:21 )

szóval az iptablesnél kell megadni a szintet?
mit érdemes megadni, hogy más lehetőleg ne kerüljön bele?

( zsirfeka | 2005. 02. 11., p – 19:27 )

[quote:edd110b21a="Willow"]szóval az iptablesnél kell megadni a szintet?
mit érdemes megadni, hogy más lehetőleg ne kerüljön bele?

LOCAL0-LOCAL7 szintek ilyesmi celokra vannak fenntartva

( Willow | 2005. 02. 11., p – 19:30 )

akkor az iptables scriptbe kell mindn loghoz, hogy --log-level LOCAL0
és a syslogd.conf-ba meg kern.LOCAL0
jól értettem?

( zsirfeka | 2005. 02. 11., p – 19:40 )

[quote:4a5b5af742="Willow"]akkor az iptables scriptbe kell mindn loghoz, hogy --log-level LOCAL0
és a syslogd.conf-ba meg kern.LOCAL0
jól értettem?

aham.

( benyovszky v | 2005. 02. 11., p – 22:13 )

Nekem nem érti a LOCAL0-t:(((
(deb woody, 2.4.29 kernel, klogd 1.4.1-10,iptables 1.2.6a)
Vagy ehhez valami csomagot is kéne rakni?
És esetleg más megoldás a problémára?

( snq- | 2005. 02. 11., p – 22:29 )

[quote:ddfedb1d8c="Willow"]kern.LOCAL0

IANAKH, de sztem a kern is es a local0 is facility nev...

( snq- | 2005. 02. 11., p – 22:30 )

[quote:bd9f7bcb52="benyovszky"]Nekem nem érti a LOCAL0-t:(((

/usr/include/sys/syslog.h

( benyovszky v | 2005. 02. 11., p – 22:34 )

Ide kéne beírnom? De nekem ilyen file nincs is, ill gondolom nem is kéne lennie, mert nem magam forgattam a sylogot...

( snq- | 2005. 02. 11., p – 22:37 )

csak azt akartam vele mondani, hogy _sztem_ a --log-level az meglepo modon egy loglevelt var (mint pl notice, debug, warn, ...), a local0 pedig egy facility name (mint pl auth, kern, cron, ...)

( benyovszky v | 2005. 02. 11., p – 22:39 )

megvan, libc6-dev be van benne:)
de az nekem ugye kevés lesz, ha felrakom a cosmagot...

szerk: kösz az infót! Most látom cska, h írtál közben... Szal itt van listázva, h milyen log leveleket kell ismernie, de ehhez újra kéne fordítanom syslog-ot... Ha jól értem.

( snq- | 2005. 02. 11., p – 22:44 )

[quote:a8efbf6587="benyovszky"]de ehhez újra kéne fordítanom syslog-ot... Ha jól értem.

en lusta ember leven inkabb --log-prefix-et hasznalnek, es syslog-ng-bol matcheltetnek a megadott prefixre; de nalamnal okosabb emberek majd mindjart itt kijavitanak, hogy ez miert nem jo

( benyovszky v | 2005. 02. 11., p – 22:50 )

én is lusta vagyok, azért kérdezek:)
na, megnéztem, elvileg woody-ban lévő syslog.h-ban is benne van a local0, de akkor miért nem megy? Ezt nem értem, no mindegy...
És syslogban, hogy tudok matchelni? manban ilyet nem látok sajna...

Kösz a gyors válaszokat!

( x-daemon | 2005. 02. 12., szo – 00:07 )

[quote:93279edb00="snq-"]
en lusta ember leven inkabb --log-prefix-et hasznalnek, es syslog-ng-bol matcheltetnek a megadott prefixre; de nalamnal okosabb emberek majd mindjart itt kijavitanak, hogy ez miert nem jo

nekem is ez jutott eszembe, +
man syslog-ng.conf

( Willow | 2005. 02. 12., szo – 07:47 )

ott nincs igazán példa.
Én kiprobáltam, beállítottam pár dolgot, de nem csinált semmit.

( zsirfeka | 2005. 02. 12., szo – 08:28 )

hopsz, valoban kevertem a facility-t meg levelt, pardon.

( benyovszky v | 2005. 02. 12., szo – 10:04 )

De woody alatt még nincs syslog-ng.... Így evvel meg vagyok lőve, sajnos:(((
amit most csináltam: --log-level debug
syslogba:
kern.=debug -/var/log/iptables
kern.!=debug -/var/log/kern.log

És ez egész jól megcsinálja amit akarok. csak néhány kernel debug info kerül az iptablesba. Csak a második sor nem jó vm miatt, mert kern.logba semmit se írkál:( != helytelen lenne?

( snq- | 2005. 02. 12., szo – 10:08 )

[quote:30e1fb631c="benyovszky"]De woody alatt még nincs syslog-ng....

http://packages.debian.org/stable/admin/syslog-ng

( cemaq | 2006. 01. 08., v – 20:01 )

Hello!
Bocs, lehet, hogy itt mar felvetodott a kerdes, de nem talaltam meg.
Szal a problemam az, hogy massziv iptables LOG-om van, es szeretnem, hogy az uid-et is logoljam (kifele meno csomiknal persze).
A gondom az, hogy a sima LOG az 3 file-ba is belekerul, ami nekem sok (pontosabban lehet szorakozni vele, de az nem az igazi, es nem tudok tisztan iptables es nem iptables logfileokat letrehozni. Ha ezt tudnam, az jo lenne)
Mivel a LOG az ilyen sok helyre ir, ezert en ULOG-ot hasznalok, csak ez meg nem tud uid-t loggolni.
Tehat a kerdesem az lenne, hogy valami tud-e erre valami megoldast, hogy 1 csak iptables logfile legyen, es abban uid is szerepeljen.
Barmilyen leirast, tutorialt szivesen veszek, de eleg kezdo vagyok...

A segitseget pedig elore is koszonom!

( benyovszky v | 2005. 02. 12., szo – 10:25 )

Sorry, akkor én vagyok hülye, pedig megnéztem a gépen is, meg weben is:(
Kritika elfogadva!
Ahogy így nézem a syslog-ng.confot talán sikerült nekem is kibogoznom a cuccot! Még ez a facility szócsak kicsit zavar, de majd gugli elvtárs segít!

Köszönöm a segítséget.

( x-daemon | 2005. 02. 12., szo – 14:36 )

azért annyit hozzátennék, hogy woody alatt nem cseréli le a klogd-t ami a kernel üzeneteket naplózza, ezt rá kell erőltetned. plusz rá kell venned, hogy a klogd helyett is naplózzon:
source src { unix-stream("/dev/log"); internal(); };
helyett ez van a sargeban:
source src { unix-stream("/dev/log"); internal(); file("/proc/kmsg" log_prefix("kernel: ")); };

( benyovszky v | 2005. 02. 12., szo – 14:42 )

source src { unix-dgram("/dev/log"); internal(); };
nekem ez van a woodyban, akkor ennek a végére írja oda, vagy vegyek írjam be egy új sorba... De most nekem teljesen jól naplóz, ahogy nézem, igaz klogd is fenn van. Az baj?

( Proci85 v | 2012. 08. 17., p – 15:09 )

Sziasztok

Adott a következő iptables szabály:
iptables -A OUTPUT -p tcp -m tcp --dport 25 -j LOG --log-uid --log-prefix "IPTABLES outgoing mail: " --log-level=7

Ilyen egy rendes log:
[3886691.400023] IPTABLES mail: IN= OUT=eth0 SRC=x.x.x.x DST=y.y.y.y LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=59700 DF PROTO=TCP SPT=60034 DPT=25 WINDOW=5840 RES=0x00 SYN URGP=0 UID=106 GID=110

Postfix által kiment levelek esetén rendesen logolja, sor végén ott van a postfix UID, GID értéke.
Vannak azonban olyan sorok, ahol az UID, GID nincs feltüntetve. Nem UID=" ", hanem már az "UID=" sincs feltüntetve a logban.

Mi lehet ennek a magyarázata?

1. miért?
2. Kerestem, nem találtam, ezért kérdeztem.
3. Egy shared hosting rendszeren minden kimenő levelet azonosítani user szinten, hogy valami nyoma legyen. Miért? Mert phpmailer nem postfixen levelezik, így ha elkezd spammelni, akkor semmi nyoma nem lesz, azon túl, hogy a szerver spam listára kerül.

A syslog-ng-vel összepárosítva mongodb-ben letárolja az adott user levélküldésének számát, ha elér egy limitet lehet gondoskodni a továbbiakról.
php mailfüggvényt ilyen téren megfogni már nem nagy gond, egy wrapper + adatbázis és komplett levélküldési statisztika rendelkezésre áll.

Na _ezen_ húz keresztül a phpmailer. Erre kell az iptables.

Ekként kibővítve 1 órája nincs UID nélküli és levélküldésenként (korábbival ellentétben) csak 1 log sor keletkezik (én magam levélküldéssel sem tudtam szimulálni UID nélküli sort)
iptables -A OUTPUT -p tcp -m tcp -m state --state NEW --dport 25 -j LOG --log-uid --log-prefix "IPTABLES mail: " --log-level=7

1. 2005-ös témát indítasz újra, úgy, hogy nem sokban egyezik az eredeti felvetéssel... :D
2. owner modul leírásából:
"This module attempts to match various characteristics of the packet creator, for locally generated packets. This match is only valid in the OUTPUT and POSTROUTING chains. Forwarded packets do not have any socket associated with them. Packets from kernel threads do have a socket, but usually no owner."

Ez igaz a LOG target --log-uid opciójára is...

3. php.ini-ben: "mail.log = akármi" sor?
Szerintem mindenki a helyi MTA-n keresztül levelezzen... Vagy önként (beállítja a szervert levélküldőként), vagy erőltetve (iptables-sel ráerőlteted. -> REDIRECT target)

Ha valami megfertőzi a www szervert, akkor max azt érnéd el az eddigi beállításoddal, hogy azt mutatná a log, hogy a www-data sok levelet küld...
A php.ini beállítása meg ilyen naplót ad:


mail() on [/data/www/sites/XXXX.hu/modules/htmlmail/htmlmail.mail.inc:269]: To: XXXX.YYYY kukac gmail.com -- Headers: MIME-Version: 1.0 Content-Type: text/html; charset=utf-8 Content-Transfer-Encoding: 8Bit X-Mailer: Drupal Errors-To: XXXX kukac XXXX.hu Return-Path: XXXX kukac XXXX.hu Sender: XXXX kukac XXXXX.hu From: "dfsfsfsdf" XXXX kukac XXXXX.hu

--
Debian Linux rulez... :D

1. Mint zellernek :)
2. Igen, nem lettünk okosabbak, ezt néztem én is:) Végülis ha sikerül neki sikerül, ha nem, nem.
3. Igen, ez megvan, meg a mail.add_x_header php5.3 újítás, de ugye mail függvény nélkül is lehet levelet küldeni és egyre több kész rendszer van amibe a phpmailert integrálják. Konkrétan joomla, _még_lehet választani, hogy phpmailert vagy mail()-t használjon, de ha van egy kulcsrakész web cucc, megrendelő kifizette, programozó legyártotta és nincs alternatívára felkészítve, akkor igyencsak dühös lesz az illető, ha egyszer csak bedöglik a weblapon keresztüli levélküldés.

Az eddigi tényleg csak ennyit tudhat amit írsz, de nem ennyi a cél. A syslog-ng azért némileg okosabb naplózást tesz lehetővé. Elvileg eseményekre akciókat tudsz deffiniálni. Így real time számlálod a levélküldést. UID + levélszám ismeretében le lehet tíltani az adott hozzáférést.

Nyílván ezzel a beszélgetéssel már túlmentünk a topic keretein. Azt gondoltam triviális a válasz ezért csak bedobtam egy közel releváns topikba félszavas kérdésnek-válasznak. Ha nem jutok vele düllőre, feldobom majd egy új topikba, hátha valaki csinált már ilyet :)

Sosem értettem mi ez a régi topicot ne hozzuk fel dolog:) Te sem ma kezdtél netezni így tudod, hogy anno az volt az iratlan szabály, hogyha létezik egy téma ahova illik, akkor lehetőleg ne hozzunk létre újat.
Ez a topik a logolásról szól, igaz elég kevés hozzászólással. A HUP-on keresztüli google iptables uid -ra ezt gondoltam a legrelevánsabbnak, igaz nem töltöttem azzal hosszú időt, hogy minden esélyes topikot kielemezzek, melyek szintén legalább 5 évesek voltak:)

Szóval ezen iratlan szabály ellen Treyt egyszer sem láttam szót emelni, ellenben sok más fórumon (pl. hobbielektronika.hu) még mindig megkövetelik. -> Úgy gondolom még ma is érvényben van. De szóljatok, ha itt másként van.