Archiv verlassen und diese Seite im Standarddesign anzeigen : iptables logt nicht mehr
Ich hab ein seltsames Problem mit den Iptables:
Bis vor 3 Tagen haben die noch alles mitgelogt doch seitdem habe ich keinen Eintrag mehr in /var/log/messages.
Aber eigentlich sollte welche da sein da ich von meinem 2 Rechner aus "Angriffe" als Test simuliert habe.
Die Distro ist Debian 3.0 stable.
Hat jemand eine Lösung für das Problem ?
festplatte voll??
versuch mal: du -h /var/log
Daran kann es nicht liegen auf der Platte sind noch über 5 Gigabyte frei.
Und die normalen Logs vom Booten oä. werden ja noch reingeschrieben bloss die Iptables Logs tauchen nicht mehr auf :(
Hast du etwas an deinem Regelwerk verändert?
Hast du die "Angriffe" lokal simuliert?
Gruß, Thomas.
Die Regeln sind die gleichen.
Und die Angriffe sind von einem zweiten Rechner über das Internet simuliert worden.
Hast du irgendetwas anderes umgestellt?
Nein eigentlich nicht.
Sollte alles so sein wie es vorher war.
Füge deinem Regelwerk als obersten Eintrag die Zeile
iptables -A INPUT -j LOG
hinzu. Jetzt sollte etwas geloggt werden, sonst liegt ein schwerwiegendes Problem vor...
Gruß, Thomas.
Ok jetzt mit der Zeile logt der wieder .
Aber wieso macht der das vorher nicht :confused:
ich poste mal das Script vielleicht findet jemand den Fehler
Default Policy: legt fest, das alles gedropt wird, was nicht expliziet zugelassen wird
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
#löschen aller bisherigen regeln
iptables -F
iptables -X
#MTU auf 1492 setzen
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmt
# alles, was über die Loopbackdevice geht, wird zugelassen.
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Drop und Log Chain
iptables -N my_drop
iptables -A my_drop -p ICMP -j LOG --log-prefix " DROP-ICMP "
iptables -A my_drop -p UDP -j LOG --log-prefix " DROP-UDP "
iptables -A my_drop -p TCP -j LOG --log-prefix " DROP-TCP "
iptables -A my_drop -j DROP
#Alles, was zu einer bestehenden Verbindung gehört wird zugelassen
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#Alles was von aussen kommt und zu keiner bestehenden Verbindung gehört wird geblockt.
iptables -A INPUT -m state --state NEW,INVALID -j DROP
################## Regeln ##############################
(Gekürzt)
################## Rest verhindern ######################
iptables -A INPUT -j my_drop
iptables -A FORWARD -j my_drop
iptables -A OUTPUT -j REJECT
Ich habs nur kurz überflogen, also nochmal nachkontollieren ob es auch tatsächlich stimmt was ich schreibe:
Lediglich Packete, welche von deinem Rechner weitergeleitet werden sollen, führen zu einem Log-Eintrag.
Mit der Zeile
iptables -A INPUT -m state --state NEW,INVALID -j DROP
verwirfst du alle eingehende, nicht von dir angeforderten Packete (also auch die Packete bei einem Angriff). Aber nicht mit Hilfe deiner neu definierten Table my_drop sondern mit der Standart-Table DROP. Deine Einträge
iptables -A INPUT -j my_drop
iptables -A FORWARD -j my_drop
iptables -A OUTPUT -j REJECT
werden also im Regelwerk nie erreicht, somit wird auch nie etwas gelogged.
Ich glaube kaum, dass du mit genau diesem Regelwerk jemals eingehende Packete gelogged hast...
Thomas.
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.