iptables -j LOG és -j DROP után képernyőre logolás

Security-all

iptables -j LOG és -j DROP után képernyőre logolás

  • 1794 megtekintés

( blanc | 2005. 08. 10., sze – 11:29 )

Üdv mindenkinek

A probléma a téma címében látható. Ugyanez kicsit konkrétabban:
[code:1:e78b2536d0]iptables -P INPUT DROP
iptables -A INPUT -i $adsl -j LOG --log-prefix "BE_adsl: "
iptables -A INPUT -i $adsl -j DROP[/code:1:e78b2536d0]
Ez gyak. egy lista vége, csak itt történik a logolás, a default policy láthatóan a DROP.

A LOG-cél úgy működik (tudtommal), mintha ott se lenne, tehát ha szó szerint vennénk, a láncszabályok utolsójaként szépen átmegy rajta a csomag, s mivel nincs mögötte semmi, ezért az alapértelmezett szabálynak kéne érvényesülnie.
Nem teszi valamiért, lényegtelen az ok, így általánosan elfogadott "szabály", hogy a -j LOG után a logolt szabályt el kell dobni.
Mint látható, megtörténik.

Az eredmény: az iptables logok szépen, rendszerezetten, a megadott előszöveggel megjelennek a képernyőn. Van valakinek megoldása?

( ts v | 2005. 08. 10., sze – 12:09 )

Nem tudom, hogy erre gondoltál-e?

iptables -A INPUT -i $adsl -j LOG --log-prefix "BE_adsl: " --log-level info

A --log-level "info"-ra való beállítása nélkül minden tűzfali naplóesemény megjelenik MINDEN virtuális terminálon.

( tata2k | 2005. 08. 10., sze – 12:28 )

En szemely szerint ulogd-t hasznalok a tuzfalaimhoz. Azzal meg egyszeruen meg lehet oldani a dolgot - mivel teljesen külön megy, nem koszolja a kepernyot. A scripteket meg sima search/replace-szel at lehet pillanatok alatt irni.

De ha sima -J LOG -gal akarod akkor meg pakolj egy syslog-ng-t es csinalj egy szurot. Nem egy ördöngős dolog, nekem tök hamar kesz lett egy hasonlo dolog utan es tenyleg sokkal jobb.

( blanc | 2005. 08. 10., sze – 12:48 )

[quote:74d56a9cea="ts"]Nem tudom, hogy erre gondoltál-e?

iptables -A INPUT -i $adsl -j LOG --log-prefix "BE_adsl: " --log-level info

A --log-level "info"-ra való beállítása nélkül minden tűzfali naplóesemény megjelenik MINDEN virtuális terminálon.

Nem, pontosan ennek ellenkezőjére: minden, az iptables által eldobott csomagról készüljön bejegyzés a /var/log/kern.log fájlba, s ne a képernyőre nyomja a rendszer a cuccost (mivel onnan eltűnik, macerás gépelni, ha 2-3 sor után beugrik egy bejegyzés, ráadásul így nem lehet később visszakeresni, hogy kinek mi a hasfájása).

( blanc | 2005. 08. 10., sze – 12:51 )

[quote:c8ff41fc86="tata2k"]En szemely szerint ulogd-t hasznalok a tuzfalaimhoz. Azzal meg egyszeruen meg lehet oldani a dolgot - mivel teljesen külön megy, nem koszolja a kepernyot. A scripteket meg sima search/replace-szel at lehet pillanatok alatt irni.

De ha sima -J LOG -gal akarod akkor meg pakolj egy syslog-ng-t es csinalj egy szurot. Nem egy ördöngős dolog, nekem tök hamar kesz lett egy hasonlo dolog utan es tenyleg sokkal jobb.

A -j LOG eredményeként alapértelmezett syslog esetén a /var/log/kern.log-ba kell(ene) kerülnie minden bejegyzésnek, s nem a képernyőre. Ezt szeretnénk elérni mindenféle más program használata nélkül.
Valószínűleg jó ötlet lesz később átállni syslog-ng-re (nálam/nálunk is volt ilyen gondolat), de attól még nem oldódik meg a jelenlegi problémám.

( mrbond | 2005. 08. 10., sze – 13:37 )

ja mán értem...
akkor azt kell csinálnod, hogy a klogd logolási értékét be kell állítanod.
ezt pl így lehet (debian alatt) : /etc/init.d/klogd szerkeszd meg
[code:1:690151eb61]#KLOGD=""
KLOGD="-c 1"
[/code:1:690151eb61]
de ha jól emlékszem akkor a sysctl-el is meg lehet oldani