Bonjour,
 
quelques questions sur le firewall Shorewall utilisé par la Mandrake. J'ai tout décoché dans drakfirewall, et j'ai ouvert les qq ports supplémentaires dont j'ai besoin.
 
1/ Apparemment le log de shorewall apparait dans /var/log/messages.
Est-ce qu'une redirection du type 'grep shorewall /var/log/messages > /home/jeep05/securitylog' est correcte ?
-Si oui, comment rendre cette redirection permanente ?
-Comment limiter la taille du fichier produit à X Mo avant de le recréer ?
 
2/ Si je lis le log, comment identifier une tentative d'intrusion ?
De quel type sera la ligne dans le journal ?
 
3/ Si un pote me fait un simple ping sur ma machine, puis-je le voir dans le journal ?
 
4/ Jusqu'à maintenant, sans firewall, pour partager la connexion internet avec le réseau local, je tapais ceci :
 

Il semblerait que j'ai trouvé l'équivalent de cette commande pour Shorewall en mettant  ppp+ eth0  dans /etc/shorewall/masq
 
5/ Alors que j'ai décoché toutes les cases dans drakfirewall, est-ce normal que le fichier /usr/share/shorewall/actions.std mentione Allow devant tous les services ?? Je ne pense pas qu'ils soient activés car les tests de sécurité sont OK.
 
 
Merci de m'avoir lu.

1°/ utilise plutôt le fichier de conf de syslog ( /etc/syslog.conf )
 
2°/ des tentatives de connexions répéter, notamment sur ton port telnet, ssh, smb, etc ...
tu as des IDS qui existent comme snort
 
3°/ normalement oui, fais un test.
si non, tu peux lui dire que le logger.
 
5°/ /usr/share/shorewall/actions.std n'est pas un fichier de conf. c'est un fichier d'example
 
http://www.shorewall.net

Le man ne me parle pas trop    
 

Que veux-tu dire ?

rediriger tous les log vers /tmp/monlog :