Hallo,
ich finde was nicht, von dem ich glaube, daß es einfach sein müßte...
Wenn ich mit iptables Pakete droppe, wird das nicht ins syslog geschrieben; aus meiner Sicht ist das auch so erwünscht :
iptables -A inchain --protocol tcp --source ... --in-interface lo \ --dest 127.0.0.1 --dport ... -j DROP
Wenn ich DROP durch REJECT ersetze, macht es auch, was es soll (es sagt der Gegenseite zeitnah, daß ich die Verbindung nicht will). Soweit OK, aber: Zusätzlich wird das alles ins syslog geschrieben. Das ist für mich lästig. Ich hab die DROP-Regel ja schließlich gebaut, damit ich nicht von dem Mist belästigt werde.
Also: Wo / wie kann ich bewirken, daß auch bei diesem Reject nichts ins syslog geschrieben wird.
Danke,
Sven
Sven Rudolph Sven_Rudolph@drewag.de (Fr 19 Sep 2014 14:10:27 CEST):
Hallo,
ich finde was nicht, von dem ich glaube, daß es einfach sein müßte...
Wenn ich mit iptables Pakete droppe, wird das nicht ins syslog geschrieben; aus meiner Sicht ist das auch so erwünscht :
iptables -A inchain --protocol tcp --source ... --in-interface lo \ --dest 127.0.0.1 --dport ... -j DROP
Wenn ich DROP durch REJECT ersetze, macht es auch, was es soll (es sagt der Gegenseite zeitnah, daß ich die Verbindung nicht will). Soweit OK, aber: Zusätzlich wird das alles ins syslog geschrieben. Das ist für mich lästig. Ich hab die DROP-Regel ja schließlich gebaut, damit ich nicht von dem Mist belästigt werde.
Weder REJECT noch DROP bewirken automatisch einen Eintrag im Syslog. Erst ein LOG macht das.
Also: Wo / wie kann ich bewirken, daß auch bei diesem Reject nichts ins syslog geschrieben wird.
Ich denke also immer noch, das REJECT hat mit dem Logging nichts zu tun. Wie sieht der Syslog-Eintrag aus?
Findest Du den auch im dmesg-Output? Das würde dann indizieren, dass es tatsächlich vom Kernel kommt und man müsste in den Firewallregeln suchen.
Wenn es bei dmesg nicht erscheint, ist vielleicht irgend ein magisches Stück Software am Start, das die Rejects protokolliert. Wie rejectest Du? Vermutlich ohne besondere Optionen, also mit ICMP?
Hallo Sven,
On Fri, Sep 19, 2014 at 14:10:27 +0200, Sven Rudolph wrote:
Wenn ich mit iptables Pakete droppe, wird das nicht ins syslog geschrieben; aus meiner Sicht ist das auch so erwünscht :
iptables -A inchain --protocol tcp --source ... --in-interface lo \ --dest 127.0.0.1 --dport ... -j DROP
Wenn ich DROP durch REJECT ersetze, macht es auch, was es soll (es sagt der Gegenseite zeitnah, daß ich die Verbindung nicht will). Soweit OK, aber: Zusätzlich wird das alles ins syslog geschrieben.
Das REJECT-Target schreibt kein syslog. Es verwirft das matchende Paket und sendet per Default ein ICMP type 3 code 3 (port unreachable) an die Quelladresse des verworfenen Pakets. Vielleicht ist im sonstigen Regelwerk eine LOG-Regel, die jetzt genau diesen ausgehenden ICMP-Traffic loggt.
Das REJECT-Verhalten laesst sich mit --reject-with ... aendern, zum Beispiel bei TCP-Traffic auf tcp-reset.
Gruss, Chris
Christian Perle chris@linuxinfotag.de writes:
On Fri, Sep 19, 2014 at 14:10:27 +0200, Sven Rudolph wrote:
Wenn ich mit iptables Pakete droppe, wird das nicht ins syslog geschrieben; aus meiner Sicht ist das auch so erwünscht :
iptables -A inchain --protocol tcp --source ... --in-interface lo \ --dest 127.0.0.1 --dport ... -j DROP
Wenn ich DROP durch REJECT ersetze, macht es auch, was es soll (es sagt der Gegenseite zeitnah, daß ich die Verbindung nicht will). Soweit OK, aber: Zusätzlich wird das alles ins syslog geschrieben.
Das REJECT-Target schreibt kein syslog. Es verwirft das matchende Paket und sendet per Default ein ICMP type 3 code 3 (port unreachable) an die Quelladresse des verworfenen Pakets.
Vielleicht ist im sonstigen Regelwerk eine LOG-Regel, die jetzt genau diesen ausgehenden ICMP-Traffic loggt.
So isses...
Danke,
Sven
lug-dd@mailman.schlittermann.de