| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
omar
Зарегистрирован: 22.01.2004
Сообщения: 99
Откуда: г.К-Чепецк
|
 Добавлено: Ср Дек 08 2004 13:19 Заголовок сообщения: LOG в iptables |
 |
|
помогите плиз...
фишка такая надо логировать все INPUT, FORWARD на шлюзе
по умолчанию политики такие
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
далее рпзрешаю так
$IPTABLES -A INPUT -p TCP --dport $port -s $admin_ip -m mac --mac-source $admin_mac -j ACCEPT
$IPTABLES -A FORWARD -p UDP --dport $port1 -s $user_ip -j ACCEPT
$IPTABLES -A FORWARD -p UDP --sport $port1 -d $user_ip -j ACCEPT
и лог
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level ALERT --log-prefix "IPT INPUT packet died: "
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level ALERT --log-prefix "IPT FORWARD packet died: "
но в логи пишется только то что DROP
а как сделать чтобы логировалось все и то что ACCEPT ?
писать для него отдельное правило или как ?
пожите!!! |
|
| Вернуться к началу |
|
 |
DmitriyS
Зарегистрирован: 19.06.2002
Сообщения: 381
Откуда: Е-бург
|
| Добавлено: Чт Дек 09 2004 11:51 Заголовок сообщения: |
|
|
| Дак ты эти правила с тарджетом LOG поставь перед всеми ACCEPT, просто те пакеты которые у тебя принимаюся ACCEPT не доходят до правил с тарджетом LOG. |
|
| Вернуться к началу |
|
|
omar
Зарегистрирован: 22.01.2004
Сообщения: 99
Откуда: г.К-Чепецк
|
| Добавлено: Пт Дек 10 2004 16:40 Заголовок сообщения: iptables & LOG |
|
|
спасибо получилось ...
а не подскажите ли как сделать так чтобы логи были раздельные ...
то есть .. те пакеты которые бы были ACCEPT записывались бы как "packet ACCEPT", а те которые DROP соответственно "packet DROP"?
а то не уодобно по портам разбирать кто принят а кто ооплюнут ... |
|
| Вернуться к началу |
|
|
DmitriyS
Зарегистрирован: 19.06.2002
Сообщения: 381
Откуда: Е-бург
|
| Добавлено: Пт Дек 10 2004 17:10 Заголовок сообщения: |
|
|
Можно.
Перед ассептом ставишь правила с тарджетом LOG с параметром --log-prefix Разрешённый_пакет
А перед дропами тоже правило с тарджетом LOG и с --log-prefix Дропнутый_пакет
И этот текстовый префикс будет писаться в логах соотв-их правил. |
|
| Вернуться к началу |
|
|
omar
Зарегистрирован: 22.01.2004
Сообщения: 99
Откуда: г.К-Чепецк
|
| Добавлено: Пт Дек 10 2004 17:15 Заголовок сообщения: iptables |
|
|
только тепрь заметил ...
а почему с такими правилами меня пускают на любой порт ?
-A INPUT -d 127.0.0.0/255.0.0.0 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
-A INPUT -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s $adr -p tcp -m tcp --dport 22 -m mac --mac-source $mac -j ACCEPT
-A INPUT -p udp -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet: " --log-level 1 |
|
| Вернуться к началу |
|
|
DmitriyS
Зарегистрирован: 19.06.2002
Сообщения: 381
Откуда: Е-бург
|
| Добавлено: Пт Дек 10 2004 17:32 Заголовок сообщения: |
|
|
| я бы спросил по другому... а почему не должно пускать? |
|
| Вернуться к началу |
|
|
omar
Зарегистрирован: 22.01.2004
Сообщения: 99
Откуда: г.К-Чепецк
|
| Добавлено: Пт Дек 10 2004 17:43 Заголовок сообщения: iptables |
|
|
хм ...
ну я вроде как пускаю только с одной машины и то по ssh?
по умолчанию политика ...
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
и разрешаю c одного адреса на один порт
$IPTABLES -A INPUT -s $adr -p tcp -m tcp --dport 22 -m mac --mac-source $mac -j ACCEPT
или я что то не понимаю ... |
|
| Вернуться к началу |
|
|
omar
Зарегистрирован: 22.01.2004
Сообщения: 99
Откуда: г.К-Чепецк
|
| Добавлено: Пт Дек 10 2004 18:35 Заголовок сообщения: iptables |
|
|
с заходами разобрался а вот с логами нет
кинь строчку какую надоть сделать для отдельного логирования |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
