Avatar billede uffed Nybegynder
07. maj 2003 - 21:19 Der er 8 kommentarer og
1 løsning

iptalbes logging

Hej.

Jeg vil meget gerne logge al min trafik, eller ihvertfald alt det blokerede fra iptables.

Her er min fw.conf, og syslog.conf

-----------fw.conf-----------------
#!/bin/sh

#################################
# FireWall rev. 0.1            #
# developed by u-soft.dk 2002  #
#################################

#LAN
LAN=192.168.0.0/24
LANIF=eth1
LANIP=192.168.0.1

#WAN
WANIF=eth0
WANIP=80.62.157.4

#SERVERS AND SERVICES
PROXY=192.168.0.1
PROXY_PORT=3128



# tillad forwarding af pakker
echo "1" > /proc/sys/net/ipv4/ip_forward

# luk al indgående som standard
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# kæderne bliver lige tømt, så man kan køre scriptet igen uden problemer
iptables -F
iptables -t nat -F

# lav en ny kæde
iptables -N block

# tillad alt lokal trafik
iptables -A INPUT -i lo -j ACCEPT

# vi tillader trafik på forbindelser, der er blevet oprettet
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT

# og vi tillader nye forbindelser, hvis de kommer indefra
iptables -A block -m state --state NEW -i $LANIF -j ACCEPT

# aktiver source nat
iptables -t nat -A POSTROUTING -s $LAN -d "!" $LAN -j SNAT --to $WANIP

# tillad adgang til udvalgte services udefra
iptables -A INPUT -p tcp -d $WANIP --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -d $WANIP --dport http -j ACCEPT
#iptables -A INPUT -p tcp -d $WANIP --dport ircd -j ACCEPT

# blockkæden kobles på INPUT og FORWARD kæderne
# Det betyder at der er adgang til alt indefra (på nær det, der blev
# droppet lige før, og til ALT udaf, men ingenting udefra
iptables -A INPUT -j block
iptables -A FORWARD -j block

# og derudover logger vi alt, der prøver at blive forwarded
# med max 1 pr sek og burst på 3
iptables -A FORWARD -m limit --limit 1/s --limit-burst 3 -j LOG --log-prefix "FORWARD: " --log-ip-options --log-tcp-options

# sæt Type Of Service til lav forsinkelse for telnet/ssh
iptables -t mangle -A PREROUTING -p tcp --dport telnet -j TOS --set-tos 0x10
iptables -t mangle -A PREROUTING -p tcp --dport ssh -j TOS --set-tos 0x10
# sæt Type Of Service til high throughput for FTP
iptables -t mangle -A PREROUTING -p tcp --dport ftp -j TOS --set-tos 0x08

# omdirriger al webtrafik til en transparent proxy
#iptables -t nat -A PREROUTING -p tcp --dport www -j DNAT --to-destination $PROXY:$PROXY_PORT

------------------------------------

---------syslog.conf----------------

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

# Log all the mail messages in one place.
mail.*                                                  /var/log/maillog

kern.warn                                              /var/log/fwlog

# Log cron stuff
cron.*                                                  /var/log/cron

# Everybody gets emergency messages
*.emerg                                                *

# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler

# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log
~


-------------------------------------

Hvad er der galt ?

hvorfor får jeg ikke logging i hverken '/var/log/messages' eller '/var/log/fwlog'  ???
Avatar billede langbein Nybegynder
07. maj 2003 - 22:08 #1
Har bare sette på scriptet i 1 minutt, men synes ikke dette ser rett ut:

# luk al indgående som standard
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# kæderne bliver lige tømt, så man kan køre scriptet igen uden problemer
iptables -F
iptables -t nat -F

Først så settes policy til DROP, DROP, ACCEPT, så flushes firewall vilket vil si at policies settes til default verdier som er ACCEPT, ACCEPT, ACCEPT, med andre ord firewall blir i utgangspunktet stående helt åpen. Flushingen bør vel komme før policytilorningen (tror jeg.)
Avatar billede langbein Nybegynder
07. maj 2003 - 22:17 #2
Disse to vil vel virke til sammen på en slik måte at all trafikk sendes til block og ingen ting går til logging ??

# blockkæden kobles på INPUT og FORWARD kæderne
# Det betyder at der er adgang til alt indefra (på nær det, der blev
# droppet lige før, og til ALT udaf, men ingenting udefra
iptables -A INPUT -j block
iptables -A FORWARD -j block

# og derudover logger vi alt, der prøver at blive forwarded
# med max 1 pr sek og burst på 3
iptables -A FORWARD -m limit --limit 1/s --limit-burst 3 -j LOG --log-prefix "FORWARD: " --log-ip-options --log-tcp-options

Ikke sikker på at dette er riktig. Bare på et raskt "øyemål".
Avatar billede uffed Nybegynder
07. maj 2003 - 22:39 #3
nej jeg er slet ikke sikker....
Avatar billede langbein Nybegynder
08. maj 2003 - 01:16 #4
Er personlig ikke tilhenger av å benytte deklarasjon av "ekstra chains" som "block". Man sparer lite med plass og det hele blir hurtig litt uoverskuelig. Synes dank sin "firewall script generator" gir en bra "basis struktur" på det hele, og så kan man heller tilpasse detaljene slik som man ønsker det. http://iptables.1go.dk/index1.php
Avatar billede langbein Nybegynder
08. maj 2003 - 01:19 #5
#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='192.168.0.1/24'
LAN_NIC='eth1'
WAN_IP='80.202.196.169'
WAN_NIC='eth0'

# load some modules (if needed)

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80

###### Og her kommer vel for eksempel logging av uønskede pakker for innput chain

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
Avatar billede uffed Nybegynder
10. maj 2003 - 17:32 #6
jamen jeg søger jo bare info om hvordan man logger alt det droppede trafik ned i en log fil og slæber det igennem en eller anden form for log analyzer, så jeg kan se hvad for padehatte der prøver at nakke min maskine
Avatar billede uffed Nybegynder
10. maj 2003 - 17:33 #7
men ellers et meget fint link du lige skød af der....

Takker
Avatar billede langbein Nybegynder
11. maj 2003 - 01:44 #8
Ja og tja. Hvis konfigurasjonen event er den at trafikken aldri kommer fram til den setning som skal foreta loggingen da må man vel først analysere litt og finnet ut hvordan man får traffikken fram til den setning som logger. Når trafikken først når fram, så kan man vel foreta en logging. Noe av budskapet over var at jeg tror trafikken forsvinner vekk før den når fram til setningen som logger. (Men jeg er ikke 100 % sikker på at denne konklusjonen er riktig.) En bra og enkel struktur så blir det hele en hel del enklere å overskue.
Avatar billede langbein Nybegynder
11. maj 2003 - 01:46 #9
Hva som blir logget vil jo avhenge av hvor i scriptet loggesetningen står og eventuelt også de "utvalgskriteria" som måtte finnes i selve loggesetningen.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester