# tillad adgang til udvalgte services udefra iptables -A INPUT -p tcp -d $WANIP --dport ssh -j ACCEPT iptables -A INPUT -p tcp -d $WANIP --dport http -j ACCEPT #iptables -A INPUT -p tcp -d $WANIP --dport ircd -j ACCEPT
# blockkæden kobles på INPUT og FORWARD kæderne # Det betyder at der er adgang til alt indefra (på nær det, der blev # droppet lige før, og til ALT udaf, men ingenting udefra iptables -A INPUT -j block iptables -A FORWARD -j block
# og derudover logger vi alt, der prøver at blive forwarded # med max 1 pr sek og burst på 3 iptables -A FORWARD -m limit --limit 1/s --limit-burst 3 -j LOG --log-prefix "FORWARD: " --log-ip-options --log-tcp-options
# sæt Type Of Service til lav forsinkelse for telnet/ssh iptables -t mangle -A PREROUTING -p tcp --dport telnet -j TOS --set-tos 0x10 iptables -t mangle -A PREROUTING -p tcp --dport ssh -j TOS --set-tos 0x10 # sæt Type Of Service til high throughput for FTP iptables -t mangle -A PREROUTING -p tcp --dport ftp -j TOS --set-tos 0x08
# omdirriger al webtrafik til en transparent proxy #iptables -t nat -A PREROUTING -p tcp --dport www -j DNAT --to-destination $PROXY:$PROXY_PORT
------------------------------------
---------syslog.conf----------------
# Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console
# Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access. authpriv.* /var/log/secure
# Log all the mail messages in one place. mail.* /var/log/maillog
kern.warn /var/log/fwlog
# Log cron stuff cron.* /var/log/cron
# Everybody gets emergency messages *.emerg *
# Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log local7.* /var/log/boot.log ~
-------------------------------------
Hvad er der galt ?
hvorfor får jeg ikke logging i hverken '/var/log/messages' eller '/var/log/fwlog' ???
Har bare sette på scriptet i 1 minutt, men synes ikke dette ser rett ut:
# luk al indgående som standard iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT
# kæderne bliver lige tømt, så man kan køre scriptet igen uden problemer iptables -F iptables -t nat -F
Først så settes policy til DROP, DROP, ACCEPT, så flushes firewall vilket vil si at policies settes til default verdier som er ACCEPT, ACCEPT, ACCEPT, med andre ord firewall blir i utgangspunktet stående helt åpen. Flushingen bør vel komme før policytilorningen (tror jeg.)
Disse to vil vel virke til sammen på en slik måte at all trafikk sendes til block og ingen ting går til logging ??
# blockkæden kobles på INPUT og FORWARD kæderne # Det betyder at der er adgang til alt indefra (på nær det, der blev # droppet lige før, og til ALT udaf, men ingenting udefra iptables -A INPUT -j block iptables -A FORWARD -j block
# og derudover logger vi alt, der prøver at blive forwarded # med max 1 pr sek og burst på 3 iptables -A FORWARD -m limit --limit 1/s --limit-burst 3 -j LOG --log-prefix "FORWARD: " --log-ip-options --log-tcp-options
Ikke sikker på at dette er riktig. Bare på et raskt "øyemål".
Er personlig ikke tilhenger av å benytte deklarasjon av "ekstra chains" som "block". Man sparer lite med plass og det hele blir hurtig litt uoverskuelig. Synes dank sin "firewall script generator" gir en bra "basis struktur" på det hele, og så kan man heller tilpasse detaljene slik som man ønsker det. http://iptables.1go.dk/index1.php
jamen jeg søger jo bare info om hvordan man logger alt det droppede trafik ned i en log fil og slæber det igennem en eller anden form for log analyzer, så jeg kan se hvad for padehatte der prøver at nakke min maskine
Ja og tja. Hvis konfigurasjonen event er den at trafikken aldri kommer fram til den setning som skal foreta loggingen da må man vel først analysere litt og finnet ut hvordan man får traffikken fram til den setning som logger. Når trafikken først når fram, så kan man vel foreta en logging. Noe av budskapet over var at jeg tror trafikken forsvinner vekk før den når fram til setningen som logger. (Men jeg er ikke 100 % sikker på at denne konklusjonen er riktig.) En bra og enkel struktur så blir det hele en hel del enklere å overskue.
Hva som blir logget vil jo avhenge av hvor i scriptet loggesetningen står og eventuelt også de "utvalgskriteria" som måtte finnes i selve loggesetningen.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.