hy @all
seid dem ich ein iptables script nutze was mich vor den " bösen buben " im INet schützt, hab ich keine Übersicht, was so an Packeten über meinen Router läuft. Hatte ich mal im INet kundig gemacht und fand heraus, das ich in dem SCRIPT auch noch ein gewisses " MITLOGGEN " der Trafic einfügen kann. Als ich meine SuSEfirewall2 noch nutzte, konnte ich mit tail -f /var/log/messages alles sehen. Jetzt ist da natürlich nix mehr mit " kukken ". Könnte mir einer von euch vielleicht nen Tip geben wie ich das so am geschicktesten anstellen könnte, das ich gedropte und akzeptierte Packete einsehen kann?
Habe da mal etwas gefunden, nur weiss ich nichts so recht damit anzufangen :-( hier mal was ich gefunden habe...
#########################################################################
iptables -N LOGONLY iptables -A LOGONLY -j LOG --log-prefix "IPTABLES packet log : " --log-tcp-options --log-tcp-sequence --log-ip-options --log-level info iptables -A LOGONLY -j ACCEPT
iptables -N LOGDROP iptables -A LOGDROP -j LOG --log-prefix "IPTABLES packet kill: " --log-tcp-options --log-tcp-sequence --log-ip-options --log-level info iptables -A LOGDROP -j DROP
iptables -N UNKNOWNINPUT iptables -A UNKNOWNINPUT -j LOG --log-prefix "IPTABLES unknown input: " --log-tcp-options --log-tcp-sequence --log-ip-options --log-level info iptables -A UNKNOWNINPUT -j DROP
iptables -N UNKNOWNFORWARD iptables -A UNKNOWNFORWARD -j LOG --log-prefix "IPTABLES unknown forward: " --log-tcp-options --log-tcp-sequence --log-ip-options --log-level info iptables -A UNKNOWNFORWARD -j DROP
#######################################################################
sieht mir aber ziemlich kompliziert aus, könnt ihr mir was simpleres anbieten und dann eventuell noch ne Info geben wie und was ich noch zusätzlich verändern muss ? Dachte so an die syslog.conf, da muss ich doch bestimmt auch noch etwas definieren wohin die Log´s geschrieben werden.
Wäre über viele Infos sehr dankbar.... Ist halt ziemlich lahm mein Netz und daher wollt ich mal sehen was da so das Netz lahmlegt und wer !?!?!?!
Danke im Vorraus :-)
Dirk Frenzel
NetGem GmbH & Co KG
Mobil 0173 / 3477831 Tel. 07031 / 714781 Fax. 07031 / 714778
am 18.12.2005, um 23:05:29 +0100 mailte DFrenzel@netgem.de folgendes:
Hatte ich mal im INet kundig gemacht und fand heraus, das ich in dem SCRIPT auch noch ein gewisses " MITLOGGEN " der Trafic einfügen kann.
Ja.
Könnte mir einer von euch vielleicht nen Tip geben wie ich das so am geschicktesten anstellen könnte, das ich gedropte und akzeptierte Packete einsehen kann?
akzeptierte Pakete wirst Du nicht wirklich loggen wollen, auch nicht bei den heutigen geringen Preisen für Festplatten. Ansonsten existiert http://netfilter.org/ mit tonnenweise guter Doku.
Habe da mal etwas gefunden, nur weiss ich nichts so recht damit anzufangen :-(
Das ist schlecht. Es macht auch selten einen tieferen Sinn, irgend ein Bruchstück aus dem INet zu verwursteln, ohne es zu verstehen.
sieht mir aber ziemlich kompliziert aus, könnt ihr mir was simpleres anbieten und dann eventuell noch ne Info geben wie und was ich noch zusätzlich verändern muss ? Dachte so an die syslog.conf, da muss ich doch
- zuerst Policy auf DROP setzen - dann das erlauben, was erlaubt sein soll - nun evtl. loggen, mit dem LOG-Target - nun sauber ein REJECT auf den unerwünchten Rest
bestimmt auch noch etwas definieren wohin die Log?s geschrieben werden.
i.d.R. /var/log/messages bzw. syslog
Wäre über viele Infos sehr dankbar.... Ist halt ziemlich lahm mein Netz und daher wollt ich mal sehen was da so das Netz lahmlegt und wer !?!?!?!
Excessives Logging kann durchaus zu einer Bremse werden...
Andreas
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
DFrenzel@netgem.de