Moje suffixy:
"ipT4 DROP INPUT: "
"ipT4 DROP INVALID IN: "
"ipT4 Outbound Connection: "
"ipT4 DROP INVALID OUT: "
Przeniesienie logow iptables do osobnego pliku.
Re: Przeniesienie logow iptables do osobnego pliku.
No i twórz sobie reguły i testuj logger'em
-
marcin1982
- Moderator
- Posty: 1731
- Rejestracja: 05 maja 2011, 12:59
- Lokalizacja: Zagłębie Dąbrowskie
Re: Przeniesienie logow iptables do osobnego pliku.
Dobra, pokaż wyniki poleceń - jedno po drugim w osobnych tagach CODE:
Kod: Zaznacz cały
grep -vE '^[[:space:]]*(#|$)' /etc/rsyslog.confKod: Zaznacz cały
ls -la /etc/rsyslog.d/Kod: Zaznacz cały
# iptables -nvLRe: Przeniesienie logow iptables do osobnego pliku.
I się dziwi, że nie działa, jak dopasowanie jest contains 'ipT4: ' a ciągi ma:
"ipT4 DROP INPUT: "
"ipT4 DROP INVALID IN: "
"ipT4 Outbound Connection: "
"ipT4 DROP INVALID OUT: "
Już widać, czy mam narysować
?
"ipT4 DROP INPUT: "
"ipT4 DROP INVALID IN: "
"ipT4 Outbound Connection: "
"ipT4 DROP INVALID OUT: "
Już widać, czy mam narysować
?Re: Przeniesienie logow iptables do osobnego pliku.
Kod: Zaznacz cały
grep -vE '^[[:space:]]*(#|$)' /etc/rsyslog.conf
$FileOwner root
$FileGroup root
module(load="imuxsock") # provides support for local system logging
module(load="imklog" permitnonkernelfacility="on")
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$RepeatedMsgReduction on
$FileOwner root
$FileGroup root
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$PrivDropToUser syslog
$PrivDropToGroup syslog
$WorkDirectory /var/spool/rsyslog
$IncludeConfig /etc/rsyslog.d/*.conf
if $msg contains 'input1,iptables denied,output1,ipT4' then -/var/log/firewall
Kod: Zaznacz cały
ls -la /etc/rsyslog.d/
total 20
drwxr-xr-x 2 root root 4096 Sep 19 17:56 .
drwxr-xr-x 175 root root 12288 Sep 19 17:22 ..
-rw-r--r-- 1 root root 1692 Sep 19 17:55 50-default.conf
Kod: Zaznacz cały
iptables -nvL
Chain INPUT (policy DROP 143 packets, 15011 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT udp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
0 0 ACCEPT tcp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
0 0 ACCEPT tcp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT udp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
0 0 ACCEPT udp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
0 0 ACCEPT udp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT udp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
0 0 ACCEPT tcp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
0 0 ACCEPT tcp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT udp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
0 0 ACCEPT udp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
72134 4799K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
148 17270 NFLOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/min burst 5 nflog-prefix "DROP INPUT: " nflog-group 1
3458 1649K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 NFLOG all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID limit: avg 2/min burst 5 nflog-prefix "DROP INVALID IN: "
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * virbr0 0.0.0.0/0 192.168.122.0/24 ctstate RELATED,ESTABLISHED
0 0 ACCEPT all -- virbr0 * 192.168.122.0/24 0.0.0.0/0
0 0 ACCEPT all -- virbr0 virbr0 0.0.0.0/0 0.0.0.0/0
0 0 REJECT all -- * virbr0 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- virbr0 * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 ACCEPT all -- * lxcbr0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * virbr0 0.0.0.0/0 192.168.122.0/24 ctstate RELATED,ESTABLISHED
0 0 ACCEPT all -- virbr0 * 192.168.122.0/24 0.0.0.0/0
0 0 ACCEPT all -- virbr0 virbr0 0.0.0.0/0 0.0.0.0/0
0 0 REJECT all -- * virbr0 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- virbr0 * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 ACCEPT all -- * lxcbr0 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0
0 0 NFLOG all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID nflog-prefix "DROP INVALID FWD: "
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
Chain OUTPUT (policy ACCEPT 19895 packets, 4209K bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * virbr0 0.0.0.0/0 0.0.0.0/0 udp dpt:68
0 0 ACCEPT udp -- * virbr0 0.0.0.0/0 0.0.0.0/0 udp dpt:68
58331 4264K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 NFLOG all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID limit: avg 2/min burst 5 nflog-prefix "DROP INVALID OUT: "
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
Natomiast odswierzenie:
Kod: Zaznacz cały
systemctl restart firewall.serviceKod: Zaznacz cały
iptables -nvL
Chain INPUT (policy DROP 3 packets, 267 bytes)
pkts bytes target prot opt in out source destination
990 60699 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
6 489 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/min burst 5 LOG flags 0 level 4 prefix "ipT4 DROP INPUT: "
15 1287 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID limit: avg 2/min burst 5 LOG flags 0 level 4 prefix "ipT4 DROP INVALID IN: "
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID LOG flags 0 level 4 prefix "ipT4 DROP INVALID FWD: "
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
Chain OUTPUT (policy ACCEPT 344 packets, 64704 bytes)
pkts bytes target prot opt in out source destination
695 43735 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
5 260 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID limit: avg 2/min burst 5 LOG flags 0 level 4 prefix "ipT4 DROP INVALID OUT: "
8 416 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
Re: Przeniesienie logow iptables do osobnego pliku.
To co zapewne miał Morfik na myśli to: dodaj do prefiksów dwukropek lub wywal go z dopasowania.
Re: Przeniesienie logow iptables do osobnego pliku.
@morfik
Dlatego wczesniej o to zapytalem i dostalem odpowiedz:I się dziwi, że nie działa, jak dopasowanie jest contains 'ipT4: ' a ciągi ma:
Nie musi być caly suffix. W regule masz contain czyli ma zawierać wyraz ipt4.
Re: Przeniesienie logow iptables do osobnego pliku.
No tak ale ty tam nie masz dopasowania, bo pasujesz do ipT4: , a ty tam masz wszędzie jedynie ipT4 i jak ma ci to dopasować?
-
marcin1982
- Moderator
- Posty: 1731
- Rejestracja: 05 maja 2011, 12:59
- Lokalizacja: Zagłębie Dąbrowskie
Re: Przeniesienie logow iptables do osobnego pliku.
To teraz jeszcze raz ... wklej aktualny skrypt zapory i /etc/rsyslog.d/50-default.conf.
Re: Przeniesienie logow iptables do osobnego pliku.
Rozumiem ipT4 jako dopasowanie.