Iptables et log
Iptables et log - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 24-08-2005 à 21:58:47
salut
avant tout, il est souvent utile de ne logguer que ce qui est rejeté. A priori, si t'as une regle qui laisse passer le trafic, t'as pas besoin de logguer ce qui y passe, tu le sais deja 
Sinon, je te conseille d'utiliser ulog a la place de log. L'avantage est que ca ne va pas polluer les logs systeme. Tu pourras ensuite tres facilement mettre un script de rotation de log (via logrotate par exemple).
http://gnumonks.org/gnumonks/proje [...] ils?p_id=1
il te faut le module ipt_ulogd
Marsh Posté le 25-08-2005 à 08:56:44
J'ai essayé avec ULOg mais vu que je connais pas grand chose à Linux j'ai buté sur un pb.
Je l'ai installé mais il n'apparait a aucun moment dans les rc5.d ou rc3.d. Comme tu dis c'est peut être dus au module ipt_ulogd.
Faut que je l'installe depuis le cd ???
Et après c'est quoi les règles iptables ?
Merci
Marsh Posté le 25-08-2005 à 17:50:36
As tu installé ulogd depuis les rpm de mandrake ? (désolé je ne connais pas cette distrib)
Sinon, pour savoir si le module ipt_ULOG est chargé, utilise lsmod. Si il n'apparait pas, tu peux le charger via la commande modprobe ipt_ULOG.
Pour ce qui est des regles utilisant ulog, tu peux avoir quelque chose du genre : iptables -A INPUT -j ULOG (c'est un exemple, a toi de lire les docs 
)
Marsh Posté le 25-08-2005 à 19:50:39
http://olivieraj.free.fr/fr/linux/ [...] /firewall/
très bon tuto
Pour ulog, le fichier de log est /var/log/ulog/syslogemu.log
S'il n'existe pas, il y a de fortes chances que tu aies mal installé ulogd
---------------
BOFH excuse #400:We are Microsoft. What you are experiencing is not a problem; it is an undocumented feature.
Marsh Posté le 26-08-2005 à 12:07:15
Ouai c'est à partir de là que j'ai voulus faire du ULOG.
Bon je regarde si je vois syslogemu.log et je vous tiens au courant Lundi, WE oblige...
Merci
Sujets relatifs:
- Iptables/Netfilter problème avec les hooks (décision routage erronée)
- Problème de transparence du proxy avec iptables
- [RESOLU] [PB] iptables => peux me connecter à aucun ftp
- Rech:Le script iptables parfait pour protéger un serveur apache et ftp
- Detection/analyse d'intrusions IPTables/IPFilter
- Passerelle avec iptables : problème de SMTP
- securiser iptables
- securiser iptables
- [IPTables] Forward des icmp
- script iptables
Marsh Posté le 24-08-2005 à 09:48:49
Salut,
Je viens ici en quète de réponse compréhensible pour iptables sous Mandrake 10.1
En effet je débute dans ce monde Linux et les toutes les explications que j'ai trouvé sur les différents sites (lea-linux, netfilter) me sont un peu dure à comprendre.
J'ai mis en place un firewall avec Iptables et mon but est de logger les tentatives d'attaques depuis Internet.
J'ai donc créé une chaine qui pour logguer:
-N LOG_DROP
-A LOG_DROP -j LOG --log-prefix "IPTABLES DROP"
Puis j'ai mis les règles suivante renvoyant à cette chaine juste avant de refuser tout ce qui ne correspond pas à ce que je veux.
-A FORWARD -j LOG_DROP
-A INPUT -j LOG_DROP
-A OUTPUT -j LOG_DROP
Le problème c'est que en logguant tout ca le fichier /var/log/kernel/warnings fait 10Mo en 10min. Donc ce n'est pas trop exploitable et niveau resource c'est un peu gros quand même.
Quelles sont les règles généralement adopté ? Y a t-il moyen de ne pas logguer les broadcast entre mon réseau et la DMZ ?
Que me conceiller vous en gros
Merci
Message édité par Bagghera le 24-08-2005 à 09:49:52