Hi,

ich habe einen Iptables Eintrag vorgenommen, welcher Pakete auf Port 123 von WAN nach LAN loggen soll.

Dies Funktioniert nur wenn ich mich vom LAN aus auf den Server (hier im LAN) Einlogge. Ist etwas an der Regel Falsch?



iptables -A INPUT -i ppp0 -p tcp --dport 123 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 123 -j LOG


Mfg

Was heisst einloggen? Per ssh oder am Bildschirm? Geht es wenn du dich per WAN einloggst? Iptables und eingeloggt sein hat aber eigentlich garnichts miteinander zu tun.

Das Problem ist das du die "LOG" Regel nach der "ACCEPT" Regel stehen hast. Wenn eine Regel zutrifft und die Destination z.B. ACCEPT oder DROP ist, dann wird das Paket zugestellt resp. verworfen und die LOG Regel wird nie ausgeführt. Deswegen sieht du auch keine Zugriffe vom WAN her, weil die Pakete aus dem LAN die obere Regel nicht matchen und somit bis zur Regel mit dem Log durchkommen.

Einfach die Reihenfolge ändern.

Ja vielen dank. Muss ich noch auf der WAN-Strecke testen aber scheint zu gehen!

Einloggen = Logging, tippfehler!

Eine kleine Frage bleibt noch, er schreibt das alles auf der Aktiven Konsole im Debian und in Messages und Syslog. Kann man das steuern, dass der das zb NICHT in die lokale Konsole @ server schreibt?

2. Gibt es eine Möglichkeit an einem TCP-Paket zu erkennen ob es sich zu einer Login-(SSL)-Anmeldung gehört? Vielleicht hamse mittlerweile ja die unbelegten Flags genutzt... lange ists ja her ;)

EDIT: oder kann man per iptables ihm sagen, dass er nur eine logzeile pro IP ausgeben soll?

thx

Ich denke das ist eher Syslog Einstellung als iptables. Iptables loggt mit der Option LOG über den Syslogger.

Ob ein Paket zum SSH Login gehört lässt sich meines Wissens per iptables nicht feststellen. Dafür bräuchtest du eine Application Firewall welche die Daten der IP Pakete (also SSH Daten) auswertet. Iptables kann nur die Paketinfos der TCP/IP Pakete analysieren, und da steht nicht drin ob es ein SSH Login ist.

Allerdings ist es wohl naheliegend das eine neue SSH Connection immer auch einen Login nach sich zieht.

Und was meinst du mit "einer Zeile pro IP"? Soll, wenn du mehrere Connections von derselben IP aus machst nur einmal geloggt werden? Wieso das?

Willst du einen oeffentlich erreichbaren NTP-Server an DSL betreiben?

Und was meinst du mit "einer Zeile pro IP"? Soll, wenn du mehrere Connections von derselben IP aus machst nur einmal geloggt werden? Wieso das?

Japp exactamundo! :) Weil; ich die gerne auf dem Display (mehrere Verbindungen, untersch. IPs) sehen würde, statt den ganzen screen mit einer IP und dessen Verbindungen zugespammt zu bekommen. Information die übermittelt werden soll: "benutzer x hat sich eingeloggt mit IP blapeng". will ich genaueres drüber wissen, kann ich das spezielle log des ftp/http/xxx/bla/peng-servers anschauen. btw wobei ich mich frage, warum er in der neusten version überhaupt das aufn monitor ausgiebt (früher nur im syslog / messages) - soll mir jez aba auch recht sein.

und @ eule: nein kein NTP server.. wie kommst du drauf?

NTP weil der Port 123 zum NTP Protokoll gehört:


ntp 123/tcp Network Time Protocol
ntp 123/udp Network Time Protocol

Und loggen solltest du generell jeden Login. Du kannst dir aber ein Script bauen oder Log-Viewer ansehen welche dir genau das möglich machen was du willst. Generell ist es aber keine gute Idee nur wegen der Übersichtlichkeit nur einen Bruchteil dessen zu loggen was wirklich abgeht.

Nur aus reiner Neugiert: was genau willst du da eigentlich laufen lassen wenn nicht NTP?

ich sags dir nur ungern, aber 123 war wie waYne oder blablubb^^