Cos'altro è necessario per ottenere iptables per accedere a questo file che ho creato?

2

Voglio creare un file iptables.logche registra tutti i tentativi di intrusione e DROP. Ecco cosa ho fatto, passo dopo passo:

1) Nel mio file delle regole di iptables, ho inserito quanto segue:

-A INPUT -j LOG --log-level 4 --log-ip-options --log-prefix "iptables: "

-P INPUT DROP
-P OUTPUT DROP
-P FORWARD DROP

# and then the other rules to open up SSH

Quindi utilizzo iptables-restorele modifiche.

2) Ho creato un file iptables.confall'interno /etc/rsyslog.d/, con questa regola all'interno:

:msg, startswith, "iptables: " -/var/log/iptables.log
& ~

3) All'interno /etc/rsyslog.d/50-default.conf, ho inserito questo:

#iptables
kern.warning /var/log/iptables.log

4) Riavvio rsyslogdaemon.

Ma non sembra essere sufficiente per raggiungere il mio obiettivo. Cos'altro è necessario fare?

Inoltre, dovrei anche fare una regola -A OUTPUT -j LOGo è inutile?

linux  firewall  monitoring 
anthony01
fonte
Bene, ha funzionato? Provalo e pubblica qui i risultati se non funziona.
Magellan,
Puoi anche pubblicare il comando completo per iptablescosì possiamo aiutarti a trovare l'errore di sintassi.
Golja,
Ciao, grazie per il tuo messaggio. Ho modificato il mio post. Ho risolto l'errore di sintassi ma non riesco ancora a raggiungere il mio obiettivo.
anthony01

Risposte:

2

Non è un oggetto immediato, ma più un aspetto di "pulizia" che è semplicemente una buona abitudine.

Si consiglia di configurare la rotazione del registro in modo da non riempire la partizione di registrazione con il nuovo file di registro. La maggior parte dei servizi rilascia un file di configurazione in /etc/logrotate.d/. E la registrazione dei pacchetti può essere abbastanza chiacchierata.

Poiché si tratta di un nuovo file di registro, dovrai aggiungerlo a uno esistente come /etc/logrotate.d/rsyslog.conf.

Magellan
fonte
Ciao, grazie per la tua risposta. Ma in rsyslog.conf, questa riga si $IncludeConfig /etc/rsyslog.d/*.confassicura che il mio iptables.conf appena creato sia preso in considerazione. Non sarebbe sufficiente? Grazie
anthony01
Preso in considerazione automaticamente? Non darei per scontato che senza alcuni trigger per quei servizi ricaricare i file di configurazione. Un 'kill -SIGHUP $ (pidof rsyslogd)' probabilmente sarebbe comunque sufficiente. Altrimenti dovrai riavviare il servizio rsyslogd.
Magellan,
0

Ha funzionato per noi (Debian 6) includendo solo la regola aggiuntiva in /etc/rsyslog.d/ e vivendo intatto il file rsyslog.conf.

Abbiamo confermato che le regole della directory vengono eseguite "prima" del core rsyslog.conf e che "& ~" interrompe la ricerca delle seguenti voci.

Questo è un file all'interno di /etc/rsyslog.d/ con

:msg, startswith, "Firewall: " -/var/log/firewall.log
& ~

fatto il lavoro come avere anche una voce per kern.warning capisco che avrebbe duplicato le regole.

Nel nostro caso le regole di iptables sono create dal firewall CSF, quindi forse il problema è lì. Le regole del firewall sembrano

19    2140  113K LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 30/min burst 5 LOG flags 0 level 4 prefix `Firewall: *TCP_IN Blocked* '
Luison
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.