Strona 4 z 6

Re: Przeniesienie logow iptables do osobnego pliku.

: 19 września 2017, 19:04
autor: Matrixx
Moje suffixy:
"ipT4 DROP INPUT: "
"ipT4 DROP INVALID IN: "
"ipT4 Outbound Connection: "
"ipT4 DROP INVALID OUT: "

Re: Przeniesienie logow iptables do osobnego pliku.

: 19 września 2017, 19:05
autor: Morfik
No i twórz sobie reguły i testuj logger'em

Re: Przeniesienie logow iptables do osobnego pliku.

: 19 września 2017, 19:06
autor: marcin1982
Dobra, pokaż wyniki poleceń - jedno po drugim w osobnych tagach CODE:

Kod: Zaznacz cały

grep -vE '^[[:space:]]*(#|$)' /etc/rsyslog.conf

Kod: Zaznacz cały

ls -la /etc/rsyslog.d/

Kod: Zaznacz cały

#    iptables -nvL

Re: Przeniesienie logow iptables do osobnego pliku.

: 19 września 2017, 19:13
autor: Morfik
I się dziwi, że nie działa, jak dopasowanie jest contains 'ipT4: ' a ciągi ma:

"ipT4 DROP INPUT: "
"ipT4 DROP INVALID IN: "
"ipT4 Outbound Connection: "
"ipT4 DROP INVALID OUT: "

Już widać, czy mam narysować :D ?

Re: Przeniesienie logow iptables do osobnego pliku.

: 19 września 2017, 19:18
autor: Matrixx

Kod: Zaznacz cały

grep -vE '^[[:space:]]*(#|$)' /etc/rsyslog.conf
$FileOwner root
$FileGroup root
module(load="imuxsock") # provides support for local system logging
module(load="imklog" permitnonkernelfacility="on")
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$RepeatedMsgReduction on
$FileOwner root
$FileGroup root
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$PrivDropToUser syslog
$PrivDropToGroup syslog
$WorkDirectory /var/spool/rsyslog
$IncludeConfig /etc/rsyslog.d/*.conf
if $msg contains 'input1,iptables denied,output1,ipT4' then -/var/log/firewall

Kod: Zaznacz cały

ls -la /etc/rsyslog.d/
total 20
drwxr-xr-x   2 root root  4096 Sep 19 17:56 .
drwxr-xr-x 175 root root 12288 Sep 19 17:22 ..
-rw-r--r--   1 root root  1692 Sep 19 17:55 50-default.conf

Kod: Zaznacz cały

 iptables -nvL
Chain INPUT (policy DROP 143 packets, 15011 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
    0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:67
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:67
    0     0 ACCEPT     tcp  --  lxcbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
    0     0 ACCEPT     udp  --  lxcbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp  --  lxcbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:67
    0     0 ACCEPT     udp  --  lxcbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:67
    0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
    0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:67
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:67
    0     0 ACCEPT     tcp  --  lxcbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
    0     0 ACCEPT     udp  --  lxcbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp  --  lxcbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:67
    0     0 ACCEPT     udp  --  lxcbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:67
72134 4799K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
  148 17270 NFLOG      all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 2/min burst 5 nflog-prefix  "DROP INPUT: " nflog-group 1
 3458 1649K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 NFLOG      all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID limit: avg 2/min burst 5 nflog-prefix  "DROP INVALID IN: "
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      virbr0  0.0.0.0/0            192.168.122.0/24     ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  virbr0 *       192.168.122.0/24     0.0.0.0/0           
    0     0 ACCEPT     all  --  virbr0 virbr0  0.0.0.0/0            0.0.0.0/0           
    0     0 REJECT     all  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 ACCEPT     all  --  *      lxcbr0  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lxcbr0 *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  *      virbr0  0.0.0.0/0            192.168.122.0/24     ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  virbr0 *       192.168.122.0/24     0.0.0.0/0           
    0     0 ACCEPT     all  --  virbr0 virbr0  0.0.0.0/0            0.0.0.0/0           
    0     0 REJECT     all  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 ACCEPT     all  --  *      lxcbr0  0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lxcbr0 *       0.0.0.0/0            0.0.0.0/0           
    0     0 NFLOG      all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID nflog-prefix  "DROP INVALID FWD: "
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID

Chain OUTPUT (policy ACCEPT 19895 packets, 4209K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     udp  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            udp dpt:68
    0     0 ACCEPT     udp  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            udp dpt:68
58331 4264K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 NFLOG      all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID limit: avg 2/min burst 5 nflog-prefix  "DROP INVALID OUT: "
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID
Odnosnie iptables to jest dziwna sprawa bo powyzsza komenda przywoluje "stara nieaktualna" konfiguracje.
Natomiast odswierzenie:

Kod: Zaznacz cały

systemctl restart firewall.service
przywoluje "aktualna"konfiguracje:

Kod: Zaznacz cały

 iptables -nvL
Chain INPUT (policy DROP 3 packets, 267 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  990 60699 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    6   489 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 2/min burst 5 LOG flags 0 level 4 prefix "ipT4 DROP INPUT: "
   15  1287 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID limit: avg 2/min burst 5 LOG flags 0 level 4 prefix "ipT4 DROP INVALID IN: "
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID LOG flags 0 level 4 prefix "ipT4 DROP INVALID FWD: "
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID

Chain OUTPUT (policy ACCEPT 344 packets, 64704 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  695 43735 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
    5   260 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID limit: avg 2/min burst 5 LOG flags 0 level 4 prefix "ipT4 DROP INVALID OUT: "
    8   416 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID

Re: Przeniesienie logow iptables do osobnego pliku.

: 19 września 2017, 19:21
autor: dedito
To co zapewne miał Morfik na myśli to: dodaj do prefiksów dwukropek lub wywal go z dopasowania.

Re: Przeniesienie logow iptables do osobnego pliku.

: 19 września 2017, 19:22
autor: Matrixx
@morfik
I się dziwi, że nie działa, jak dopasowanie jest contains 'ipT4: ' a ciągi ma:
Dlatego wczesniej o to zapytalem i dostalem odpowiedz:
Nie musi być caly suffix. W regule masz contain czyli ma zawierać wyraz ipt4.

Re: Przeniesienie logow iptables do osobnego pliku.

: 19 września 2017, 19:27
autor: Morfik
No tak ale ty tam nie masz dopasowania, bo pasujesz do ipT4: , a ty tam masz wszędzie jedynie ipT4 i jak ma ci to dopasować?

Re: Przeniesienie logow iptables do osobnego pliku.

: 19 września 2017, 19:28
autor: marcin1982
To teraz jeszcze raz ... wklej aktualny skrypt zapory i /etc/rsyslog.d/50-default.conf.

Re: Przeniesienie logow iptables do osobnego pliku.

: 19 września 2017, 19:30
autor: Matrixx
Rozumiem ipT4 jako dopasowanie.