Hi Leute,

wie kann man mit ipchains Pakete loggen???
Ich möchte gerne ACCEPTed Pakete loggen, bis jetzt loggt ipchains bzw der Kernel nur die DENY Pakete.

Hat jemand von Euch eine Möglichkeit dies umzusetzen????


Gruß Hardwarerosti

gib einfach bei den regeln die du loggen willst den parameter "-l" an und dann sollte alles in /var/log/firewall (oder so) stehen.

aber pass auf, denn wenn du zu viel loggst, kann dir die HD bald zu klein werden (sprech da aus erfahrung mit 3 GB logfiles *g*).

mit folgender Regel

iptables -I INPUT -j LOG --log-prefix "Zugriff :"

loggt der alles mit, auch abgelehnte Verbindungen.

Um nur speziell die Verbindungen mitzuloggen die auch akzeptiert wurden, muss man wissen was erlaubt wurde.
Am besten direkt vor der Acceptregel die Loggingregel einfügen

z.b
iptables -I INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH-Zugriff :" # das hier ist die Logregel
iptables -A INPUT -p tcp --dport 22 -j ACCEPT #und das hier die dazugehörige allowregel

wichtig ist das die jeweilige Loggingregel vor der allowregel steht --> deswegen Logging immer mit "-I" einfügen. Damit stehen die gleich zu Beginn da, denn wenn ACCEPT,DENY zuerst stehen würde, wird zuerst diese Regel benutzt und der Rest der noch folgt wird nicht weiter beachtet. Bei Logging ist das anders, hier wird auch der die Nachfolgenden Regeln beachtet.

Aha, nun gut, das habe ich soeben mal getestet, jedoch ohne Erfolg.
Ich habe als Policy: ACCCEPT.

Wie kann ich denn da die ganzen ACCEPT Pakete loggen????
Mit -l gehts einfach nicht.


Gruß Hardwarerosti

@ Stage

Sorry aber ich arbeite mit IPchains, wie meiner Überschrift zu entnehmen war.
Da kann man dies nicht so machen.
Vielleicht hast da ja was vergleichbares????

Trotzdem danke.


Gruß Hardwarerosti

@hardwarerosti

oh sorry. war da wohl etwas überschnell :ugly:

soory wie das bei chains geht, weiß ich nicht

Original geschrieben von hardwarerosti
Aha, nun gut, das habe ich soeben mal getestet, jedoch ohne Erfolg.
Ich habe als Policy: ACCCEPT.

Wie kann ich denn da die ganzen ACCEPT Pakete loggen????
Mit -l gehts einfach nicht.


Gruß Hardwarerosti


hast eh -l (also kleines L) genommen und nicht -I (grosses i).

das musst ganz ans ende deiner regel schreiben (also nach dem accept zum beispiel).

ev. stehts auch nur im message logfile

Achso,

gut okay, werde dies gleichmal testen.


Gruß Hardwarerosti

Ich habe es mal getestet, jedoch will das nicht richtig gehen. Bekomme da eine Fehlermeldung, daß es ein ungültiges Argument sei.

Hier mal mein Befehl: ipchains -A input -p tcp --dport 1214 -j DENY -I

Wo liegt der Fehler????


Gruß Hardwarerosti

Original geschrieben von hardwarerosti
Ich habe es mal getestet, jedoch will das nicht richtig gehen. Bekomme da eine Fehlermeldung, daß es ein ungültiges Argument sei.

Hier mal mein Befehl: ipchains -A input -p tcp --dport 1214 -j DENY -I

Wo liegt der Fehler????


Gruß Hardwarerosti

Hier mal dein neuer Befehl: ipchains -A input -p tcp --dport 1214 -j DENY -l



PS: --dport gibts bei ipchains auch schon??? dachte das gibts erst seit iptables!

Was ist das denn für ein Buchstabe, den du da ans Ende angehängt hast?????
Weil Du vorhin sagtest -I?????

Gruß Hardwarerosti

P.S. Jupp --dport und --sport gibts schon seit ipchains.

IPTables hat nur noch einpaar Möglichkeiten mehr, z.B. logging, trafficbegrenzung usw. habe ich zumindest mal gelesen.

Sooo, ich habe es herausgefunden.
Ich musste dadurch, daß meine Policy auf ACCEPT steht musste ich nach meinen Sperrungen noch eine ACCEPT -l (kleines L) Eintrag vornehmen, da nur Packete geloggt werden, wenn eine Regel zutrifft.

Merci für Eure Hilfe


Gruß Hardwarerosti

Original geschrieben von Tommy_20



hast eh -l (also kleines L) genommen und nicht -I (grosses i).



das mit dport usw. wusste ich nicht genau, da ich seit ein paar monaten nur noch auf iptables arbeite!