PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : iptables log datei bestimmen



-As-
14.10.03, 13:46
iptables -A INPUT -i ippp0 -p tcp --dport 80:80 -j ACCEPT
iptables -A INPUT -i ippp0 -p tcp --dport 80:80 -j LOG >> /var/log/firewall/HTTP

was is daran falsch?
ich will linux sagen, er soll für zugriffe auf port 80 log's in eine eigende datei geben

Jasper
14.10.03, 13:59
Original geschrieben von -As-
iptables -A INPUT -i ippp0 -p tcp --dport 80:80 -j ACCEPT
iptables -A INPUT -i ippp0 -p tcp --dport 80:80 -j LOG >> /var/log/firewall/HTTP

was is daran falsch?
ich will linux sagen, er soll für zugriffe auf port 80 log's in eine eigende datei geben

iptables loggt immer per klog/syslog. man kann noch den kevel und/oder ein prefix angeben:

bspw.

iptables -A INPUT -i ippp0 -p tcp --dport 80 -j LOG --log-level debug

das aufteilen der syslog-meldungen in files erledigt dann syslog.

in diesem bespiel sehe das so aus:

kern.debug /var/log/firewall/HTTP

details siehe 'man syslog.conf'

-j

Stage
14.10.03, 14:01
1. muss LOG immer vor jeder ACCEPT/DROP Regel stehen, weil der Filter bei sowas die Chain verlässt, bei LOG nicht

2. geht das nicht, schau dir die Syntax von -j LOG (man iptables)

denn mit deiner Syntax würdest du ja nur irgendwelche Ausgaben, die dieser Befehl selbst generiert (was er nicht macht) in eine Datei leiten.
Z.b bei date >> date.txt würde das funktionieren, weil Date eine Ausgabe auf der Konsole erzeugt, die somit in eine Datei umgeleitet wird
das Logging bei IPtables kommt aber vom Kernel selbst, und da ist der Syslogd zuständig

-As-
14.10.03, 14:21
Original geschrieben von Jasper
iptables loggt immer per klog/syslog. man kann noch den kevel und/oder ein prefix angeben:

bspw.

iptables -A INPUT -i ippp0 -p tcp --dport 80 -j LOG --log-level debug

das aufteilen der syslog-meldungen in files erledigt dann syslog.

in diesem bespiel sehe das so aus:

kern.debug /var/log/firewall/HTTP

details siehe 'man syslog.conf'

-j

aha

und wie sieht eine gültige log zeile aus?
was soll ich mit "kern.debug /var/log/firewall/HTTP" machen?

Jasper
14.10.03, 15:41
Original geschrieben von -As-
aha

und wie sieht eine gültige log zeile aus?
was soll ich mit "kern.debug /var/log/firewall/HTTP" machen?

in die /etc/syslog.conf schreiben, aber vorher 'man syslog.conf' lesen, damit du weisst, warum du dieses tun sollst.

-j

-As-
14.10.03, 19:53
das prob is, das ich das gerne will. aber mit der fehlermeldung: permission denied] als root steht man ganz schön O_o da.

ich will den neu installieren und jetzt ohne bastelei gleich alles richtig machen

rep
18.01.05, 14:34
Ich habe auch den Wunsch sehr viel mitzuloggen. Aber das /var/log/message wird dann unüberschaubar. Ich würde abgesehen davon das ich die Daten in einer anderen Datei habe, auch gerne wissen wie man verhindert das es in der Standard /var/log/message auftaucht.

Ich habe "man syslog.conf" ein bisschen überflogen. Hört sich logisch an, aber ich denke nicht das man so die Firewall per iptables von den anderen dingen komplett unabhängig mitschreiben kann. Sehe ich das richtig?

Also die Frage: Kann man die logging Sachen der Firewall in eine seperate Datei schreiben und dafür sorgen das nur diese dort hineingeschrieben werden. Genauso wie dafür zu sorgen das dort eingetragene Dinge nicht mehr im Standard log auftreten.
Ist das zu machen, ohne das sonstige Standardverhalten zu beeinflussen?

eclipse
18.01.05, 14:39
Ja das loggin funzt separat, und zwar genauso wie von den anderen schon beschrieben, mit dem syslog-daemon.