Archiv verlassen und diese Seite im Standarddesign anzeigen : IPChains, logging von Paketen
hardwarerosti
29.07.02, 07:36
Hi Leute,
wie kann man mit ipchains Pakete loggen???
Ich möchte gerne ACCEPTed Pakete loggen, bis jetzt loggt ipchains bzw der Kernel nur die DENY Pakete.
Hat jemand von Euch eine Möglichkeit dies umzusetzen????
Gruß Hardwarerosti
gib einfach bei den regeln die du loggen willst den parameter "-l" an und dann sollte alles in /var/log/firewall (oder so) stehen.
aber pass auf, denn wenn du zu viel loggst, kann dir die HD bald zu klein werden (sprech da aus erfahrung mit 3 GB logfiles *g*).
mit folgender Regel
iptables -I INPUT -j LOG --log-prefix "Zugriff :"
loggt der alles mit, auch abgelehnte Verbindungen.
Um nur speziell die Verbindungen mitzuloggen die auch akzeptiert wurden, muss man wissen was erlaubt wurde.
Am besten direkt vor der Acceptregel die Loggingregel einfügen
z.b
iptables -I INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH-Zugriff :" # das hier ist die Logregel
iptables -A INPUT -p tcp --dport 22 -j ACCEPT #und das hier die dazugehörige allowregel
wichtig ist das die jeweilige Loggingregel vor der allowregel steht --> deswegen Logging immer mit "-I" einfügen. Damit stehen die gleich zu Beginn da, denn wenn ACCEPT,DENY zuerst stehen würde, wird zuerst diese Regel benutzt und der Rest der noch folgt wird nicht weiter beachtet. Bei Logging ist das anders, hier wird auch der die Nachfolgenden Regeln beachtet.
hardwarerosti
29.07.02, 09:39
Aha, nun gut, das habe ich soeben mal getestet, jedoch ohne Erfolg.
Ich habe als Policy: ACCCEPT.
Wie kann ich denn da die ganzen ACCEPT Pakete loggen????
Mit -l gehts einfach nicht.
Gruß Hardwarerosti
hardwarerosti
29.07.02, 09:40
@ Stage
Sorry aber ich arbeite mit IPchains, wie meiner Überschrift zu entnehmen war.
Da kann man dies nicht so machen.
Vielleicht hast da ja was vergleichbares????
Trotzdem danke.
Gruß Hardwarerosti
@hardwarerosti
oh sorry. war da wohl etwas überschnell :ugly:
soory wie das bei chains geht, weiß ich nicht
Original geschrieben von hardwarerosti
Aha, nun gut, das habe ich soeben mal getestet, jedoch ohne Erfolg.
Ich habe als Policy: ACCCEPT.
Wie kann ich denn da die ganzen ACCEPT Pakete loggen????
Mit -l gehts einfach nicht.
Gruß Hardwarerosti
hast eh -l (also kleines L) genommen und nicht -I (grosses i).
das musst ganz ans ende deiner regel schreiben (also nach dem accept zum beispiel).
ev. stehts auch nur im message logfile
hardwarerosti
29.07.02, 10:31
Achso,
gut okay, werde dies gleichmal testen.
Gruß Hardwarerosti
hardwarerosti
29.07.02, 10:35
Ich habe es mal getestet, jedoch will das nicht richtig gehen. Bekomme da eine Fehlermeldung, daß es ein ungültiges Argument sei.
Hier mal mein Befehl: ipchains -A input -p tcp --dport 1214 -j DENY -I
Wo liegt der Fehler????
Gruß Hardwarerosti
Original geschrieben von hardwarerosti
Ich habe es mal getestet, jedoch will das nicht richtig gehen. Bekomme da eine Fehlermeldung, daß es ein ungültiges Argument sei.
Hier mal mein Befehl: ipchains -A input -p tcp --dport 1214 -j DENY -I
Wo liegt der Fehler????
Gruß Hardwarerosti
Hier mal dein neuer Befehl: ipchains -A input -p tcp --dport 1214 -j DENY -l
PS: --dport gibts bei ipchains auch schon??? dachte das gibts erst seit iptables!
hardwarerosti
29.07.02, 10:52
Was ist das denn für ein Buchstabe, den du da ans Ende angehängt hast?????
Weil Du vorhin sagtest -I?????
Gruß Hardwarerosti
P.S. Jupp --dport und --sport gibts schon seit ipchains.
IPTables hat nur noch einpaar Möglichkeiten mehr, z.B. logging, trafficbegrenzung usw. habe ich zumindest mal gelesen.
hardwarerosti
29.07.02, 11:23
Sooo, ich habe es herausgefunden.
Ich musste dadurch, daß meine Policy auf ACCEPT steht musste ich nach meinen Sperrungen noch eine ACCEPT -l (kleines L) Eintrag vornehmen, da nur Packete geloggt werden, wenn eine Regel zutrifft.
Merci für Eure Hilfe
Gruß Hardwarerosti
Original geschrieben von Tommy_20
hast eh -l (also kleines L) genommen und nicht -I (grosses i).
das mit dport usw. wusste ich nicht genau, da ich seit ein paar monaten nur noch auf iptables arbeite!
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.