[Debian]install et conf de bridge/iptables
install et conf de bridge/iptables [Debian] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 03-04-2003 à 21:52:27
sudo apt-get install tcpdump
tcpdump -n expression > truc.dat
mais bon, tcpdump telquel n'est peut-être pas l'outil le plus aproprié pour faire ce que tu veux... A la limite, un prog en C d'une centaines de lignes (ou en perl d'une dizaine) utilisant la libpcap serait le mieux...
---------------
-- NO SLACKERS - violators will be fsck'd & tar'd
Marsh Posté le 03-04-2003 à 21:57:09
| lithium a écrit : Ou plus simplement iptables |
plus simple? tu rigoles? et puis c beaucoup plus lourd...
---------------
-- NO SLACKERS - violators will be fsck'd & tar'd
Marsh Posté le 03-04-2003 à 22:29:18
iptables -A INPUT -i ppp0 -j LOG --log-prefix '[iptables IN] : '
iptables -A INPUT -i ppp0 -j ACCEPT
iptables -A OUTPUT -o ppp0 -j LOG --log-prefix '[iptables OUT] : '
iptables -A OUTPUT -o ppp0 -j ACCEPT
stateless = 0% de temp CPU
Message édité par lithium le 03-04-2003 à 22:29:48
Marsh Posté le 03-04-2003 à 22:31:43
| lithium a écrit : iptables -A INPUT -i ppp0 -j LOG --log-prefix '[iptables IN] : ' |
oui, mais bonjour l'heresis au niveau du logd quand ton interface sature 
---------------
-- NO SLACKERS - violators will be fsck'd & tar'd
Marsh Posté le 04-04-2003 à 09:50:56
| PinG a écrit : oui, mais bonjour l'heresis au niveau du logd quand ton interface sature |
Si tu parle du flood, tu ajoute -m limit --limit 1/s devant -j LOG.
Et tu peut y mettre la valeure que tu veut, mais le mieux a faire la, c'est de fixer un quotas sur la taille du log, et le vider une a deux fois par jour
Marsh Posté le 04-04-2003 à 11:01:17
y a til un bon site (pas trop difficile d'acces) qui explique ce que font chaque option de iptable ? (notamment la generation de logs)
Marsh Posté le 04-04-2003 à 11:14:40
| RedRidingHood a écrit : y a til un bon site (pas trop difficile d'acces) qui explique ce que font chaque option de iptable ? (notamment la generation de logs) |
http://www.linuxguruz.org/iptables [...] HOWTO.html
lithium : et après, ses stats sont fausses
Et puis je parlais pas de flood, je parlait simplement d'un traffic important de petits paquets sur un réseau en 100 ou plus (gigabit, ...)... C'est pas iptables qui vas saturer, mais le démon qui logue... Il vas saturer en données à traiter et en écriture disque... A moins d'utiliser metalog...
---------------
-- NO SLACKERS - violators will be fsck'd & tar'd
Marsh Posté le 04-04-2003 à 11:21:34
c pas une bonne solution alors d'utiliser les logs d'iptables ?
Marsh Posté le 04-04-2003 à 11:24:08
est que je peux juste avoir ds les logs @IP src, @ip dest et port src, port dest ?
Marsh Posté le 04-04-2003 à 11:27:22
Oui, ca te laissera des messages de ce style dans /var/log/syslog :
Apr 4 11:18:56 sapphire kernel: [iptables inet DROP] : IN=ppp0 OUT= MAC= SRC=202.226.188.92 DST=81.50.92.84 LEN=78 TOS=0x00 PREC=0x00 TTL=108 ID=31833 PROTO=UDP SPT=1025 DPT=137 LEN=58
Marsh Posté le 04-04-2003 à 12:00:18
en gros je voudrais que mes paquets rejetes soient loggués ds un fichier ss forme :
date hh:mm:ss @IPsrc portsrc @ipdest portdest
c faisable ca ?
Marsh Posté le 04-04-2003 à 12:06:39
| RedRidingHood a écrit : en gros je voudrais que mes paquets rejetes soient loggués ds un fichier ss forme : |
seulement les rejetés? Alors iptables est la moins mauvaise solution
---------------
-- NO SLACKERS - violators will be fsck'd & tar'd
Marsh Posté le 04-04-2003 à 12:43:28
| RedRidingHood a écrit : en gros je voudrais que mes paquets rejetes soient loggués ds un fichier ss forme : |
Mais a quoi ca va te servire si tu ne coit pas ce que la source a tenter de faire ..?
Marsh Posté le 04-04-2003 à 13:07:15
| lithium a écrit : |
+1... Et puis faut se méfier du spoofing 
---------------
-- NO SLACKERS - violators will be fsck'd & tar'd
Marsh Posté le 04-04-2003 à 13:34:35
a quoi ca va servir ? ben notamment voir ce qu'on essaye de faire passer a travers mon reseau, mais je resitue un peu,
c ds le cadre de 2 reseaux locaux qui communiquent via une LS, le but c de pas faire transiter des paquets inutiles entre les 2 reseaux. dc d'abord j'analyse les flux que je vx/dois laisser passer et je drop tt le reste, mais bon j'aimerais qd meme avoir une trace, et eventuellement savoir quel flux je dois ajouter a mes regles pr le laisser passer.
Marsh Posté le 04-04-2003 à 19:51:52
autre question, ce PC/firewall sera place juste avant le routeur qui permet de se connecter a un autre reseau distant, comment configurer ip table pr cela ? si j'ai bien compris faut que j'active le forwarding c ca ? qu'est qu'il faut que je fasse de particulier ?
Marsh Posté le 07-04-2003 à 11:02:46
bon a priori faut que je fasse un truc ds ce genre la non ?
http://www.linuxgazette.com/issue76/whitmarsh.html
quelqu'un l'a deja fait ?
Message édité par redridinghood le 08-04-2003 à 09:57:51
Marsh Posté le 09-04-2003 à 11:47:18
ca m interesse aussi 
---------------
"Douter de tout ou tout croire, ce sont les deux solutions également commodes qui l'une et l'autre nous dispensent de reflechir." Henri Poincaré.
Sujets relatifs:
- [resolu :D] install apache 2.0.45 php 4.3.1 mysql 4.0.12
- make modules && make modules_install HELP
- [Debian] Probleme de buffer apres un delog...
- Installation de Debian avec une 3com 3c905-B
- pb install mandake 9
- [Debian] Grosse bêtise ! Help please.
- Forward de port avec MonMotha iptables fw
- [Debian]Installation sans CDROM
- Une marche a suivre pour une install propre de kde3.1(.1)
- [Debian] dselect ... Comment annuler ?
Marsh Posté le 03-04-2003 à 19:08:35
voila je debute ss debian et je dois installer TCPDUMP et le configurer pr qu'il me sorte des logs (de pref ds une BDD) contenant les @src,@dest,port src, port dest
quelqu'un a deja fait ca (surtout un filtre d'exportation ss TCPDUMP) ?
merci !!
----edit----
voir en bas !
Message édité par redridinghood le 07-04-2003 à 11:47:03