Toon posts:

[Ubuntu] [iptables] Niet alle data wordt gelogd.

Pagina: 1
Acties:

Onderwerpen

Ubuntu

zaterdag 24 oktober 2009 14:40

Acties:
  • 0 Henk 'm!
  • battler
  • Registratie: November 2004
  • Laatst online: 30-06 15:11

battler

Topicstarter
In mijn iptables heb ik de volgende rules staan
code:
1
2
3

iptables -A INPUT -j LOG --log-prefix "INPUT packets " --log-level 7
iptables -A OUTPUT -j LOG --log-prefix "OUTPUT packets " --log-leve 7
iptables -A FORWARD -j LOG --log-prefix "FORWARD packets " --log-level 7


Vervolgens ping ik vanuit die zelfde pc naar de buiten wereld, maar hiervan verschijnt niets in mijn log.
Hier komt alleen maar data in de staan van bekende subnetten of local loopback.

Waar blijven mijn logs 8)7

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

zaterdag 24 oktober 2009 15:13

Acties:
  • 0 Henk 'm!
  • cherwin
  • Registratie: Maart 2006
  • Niet online

cherwin

De logs staan in /var/log/syslog.

Tell me your problem, not the solution you think I should build for you.

zaterdag 24 oktober 2009 15:18

Acties:
  • 0 Henk 'm!
  • battler
  • Registratie: November 2004
  • Laatst online: 30-06 15:11

battler

Topicstarter
Mijn logs staan op een iets andere plaats (/var/log/iptables/input.log

Maar de data die daar in staat is :

code:
1
2
3
4
5
6
7
8
9

Oct 24 14:45:02 perfect-linux kernel: [4535620.155028] OUTPUT packets IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=47436 DF PROTO=TCP SPT=60036 DPT=4713 WINDOW=32792 RES=0x00 SYN URGP=0 
Oct 24 14:45:09 perfect-linux kernel: [4535626.969630] INPUT packets IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:14:7f:de:c0:c8:08:00 SRC=10.0.1.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=50713 DF PROTO=2 
Oct 24 14:46:02 perfect-linux kernel: [4535680.207102] OUTPUT packets IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=16537 DF PROTO=TCP SPT=41348 DPT=16001 WINDOW=32792 RES=0x00 SYN URGP=0 
Oct 24 14:46:09 perfect-linux kernel: [4535686.969326] OUTPUT packets IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=27585 DF PROTO=TCP SPT=41367 DPT=16001 WINDOW=32792 RES=0x00 SYN URGP=0 
Oct 24 14:46:10 perfect-linux kernel: [4535687.967196] OUTPUT packets IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47350 DF PROTO=TCP SPT=41368 DPT=16001 WINDOW=32792 RES=0x00 SYN URGP=0 
Oct 24 14:46:12 perfect-linux kernel: [4535689.679852] OUTPUT packets IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=24621 DF PROTO=TCP SPT=41371 DPT=16001 WINDOW=32792 RES=0x00 SYN URGP=0 
Oct 24 14:46:13 perfect-linux kernel: [4535690.677609] OUTPUT packets IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=51386 DF PROTO=TCP SPT=41372 DPT=16001 WINDOW=32792 RES=0x00 SYN URGP=0 
Oct 24 14:46:15 perfect-linux kernel: [4535692.907988] OUTPUT packets IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=6710 DF PROTO=TCP SPT=41378 DPT=16001 WINDOW=32792 RES=0x00 SYN URGP=0 
Oct 24 14:46:16 perfect-linux kernel: [4535693.903965] OUTPUT packets IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=29656 DF PROTO=TCP SPT=41379 DPT=16001 WINDOW=32792 RES=0x00 SYN URGP=0


Terwijl ik aan het pingen ben naar google. Naar mijn verwachting moet de zowel de INPUT als de OUTPUT rule die ICMP data loggen naar die file. Maar ik zie daar helemaal niets van terug.

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

zaterdag 24 oktober 2009 15:26

Acties:
  • 0 Henk 'm!
  • cherwin
  • Registratie: Maart 2006
  • Niet online

cherwin

Clear je logs en probeer deze.
code:
1
2

iptables -A OUTPUT -p icmp --icmp-type echo-request -j LOG --log-level 7 --log-prefix "ICMP Request: "
iptables -A INPUT -p icmp --icmp-type echo-reply -j LOG --log-level 7 --log-prefix "ICMP Reply: "
Hoe ziet jouw iptables config er eigenlijk uit?

Tell me your problem, not the solution you think I should build for you.

zaterdag 24 oktober 2009 15:39

Acties:
  • 0 Henk 'm!
  • battler
  • Registratie: November 2004
  • Laatst online: 30-06 15:11

battler

Topicstarter
Ik ben mijn iptables aan het aanpassen/opschonen en overzichtelijker aan het maken. Een belangrijk deel hiervan is het loggen van data. Maar helaas ook jouw rules geven geen resultaat in de logs.

Bij regel 211 heb ik enkele log rules aangemaakt. Op dit moment staat alle data op accept.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278

#Flushen van alle rules

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

echo "
###########################################################################################
                    Flush completed
###########################################################################################
"

###########################################################################################
#                                            NAT                                          #
###########################################################################################

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface eth1 -j ACCEPT

echo "
###########################################################################################
                    NAT completed
###########################################################################################
"

###########################################################################################
#                                           DNS                                          #
###########################################################################################

#DNS van server naar XS4ALL servers 
iptables -A OUTPUT -o eth0 -p udp --dport 53 -s 10.0.1.2  -d 194.109.6.66 -j ACCEPT  
iptables -A OUTPUT -o eth0 -p udp --dport 53 -s 10.0.1.2  -d 194.109.9.99 -j ACCEPT

#DNS DATA van DNS Servers van XS4all naar server
iptables -A INPUT  -i eth0 -p udp --sport 53 -s 194.109.6.66  -d 10.0.1.2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT  -i eth0 -p udp --sport 53 -s 194.109.9.99  -d 10.0.1.2 -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "
###########################################################################################
                    DNS completed
                Server can use XS4ALL DNS servers 
###########################################################################################
"

############################################################################################
#                                     SQUID HTTP CONFIG                                    #
############################################################################################

#squid transparant proxy, port redirect
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

#http (80)

#From Firewall to Wan
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -s 10.0.1.2 -j ACCEPT 
#From Wan to Firewall
iptables -A INPUT -i eth0 -p tcp --sport 80 -d 10.0.1.2 -m state --state ESTABLISHED,RELATED -j ACCEPT

#http (3128)
#From Firewall to Lan
iptables -A OUTPUT -o eth1 -p tcp --sport 3128  -s 192.168.0.1 -d 192.168.0.0/24  -m state --state ESTABLISHED,RELATED -j ACCEPT
#From Lan to Firewall
iptables -A INPUT -i eth1 -p tcp --dport 3128 -s 192.168.0.0/24 -d 192.168.0.1 -j ACCEPT

echo "
###########################################################################################
                    SQUID CONFIG  completed
###########################################################################################
"

###########################################################################################
#                                             From Lan to Wan                     #
###########################################################################################

#https (443) From Lan to Wan
iptables -A FORWARD -j ACCEPT -p tcp --dport 443 -s 192.168.0.0/24 -i eth1
iptables -A FORWARD -j ACCEPT -p tcp --sport 443 -m state --state ESTABLISHED,RELATED  -d 192.168.0.0/24 -o eth1

#DNS (53) From Lan to Wan
iptables -A FORWARD -j ACCEPT -p udp --dport 53 -s 192.168.0.0/24 -d 194.109.6.66 -i eth1
iptables -A FORWARD -j ACCEPT -p udp --sport 53 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -o eth1

#SSH (22) From Lan to Wan
iptables -A FORWARD -j ACCEPT -p tcp --dport 22 -s 192.168.0.0/24 -i eth1
iptables -A FORWARD -j ACCEPT -p tcp --sport 22 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -o eth1

#Perfect-PDU (2638) From Lan to Wan
iptables -A FORWARD -j ACCEPT -p tcp --dport 2638 -s 192.168.0.0/24 -i eth1
iptables -A FORWARD -j ACCEPT -p tcp --sport 2638 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -o eth1

#pop3 (110) From lan to Wan
iptables -A FORWARD -j ACCEPT -p tcp --dport 110 -s 192.168.0.0/24 -i eth1
iptables -A FORWARD -j ACCEPT -p tcp --sport 110 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -o eth1

#smtp (25) From lan to Wan
iptables -A FORWARD -j ACCEPT -p tcp --dport 25 -s 192.168.0.0/24 -i eth1
iptables -A FORWARD -j ACCEPT -p tcp --sport 25 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -o eth1

#torrent (6881 - 6889) From lan to Wan
iptables -A FORWARD -j ACCEPT -p tcp --dport 6881:6889 -s 192.168.0.0/24 -i eth1
iptables -A FORWARD -j ACCEPT -p tcp --sport 6881:6889 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -o eth1

#torrent (6881 - 6889) From lan to Wan
iptables -A FORWARD -j ACCEPT -p tcp --dport 34967 -d 192.168.0.0/24 -o eth1
iptables -A FORWARD -j ACCEPT -p tcp --sport 34967 -d 192.168.0.0/24 -o eth1

#FTP (21) From Lan to wan
iptables -A FORWARD -j ACCEPT -p tcp  -i eth1
iptables -A FORWARD -j ACCEPT -p tcp  -o eth1

iptables -A FORWARD -j ACCEPT -p tcp --dport 20 -s 192.168.0.0/24 -i eth1
iptables -A FORWARD -j ACCEPT -p tcp --sport 20 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -o eth1

#Perfect-webcam (8080) From Lan to wan
#iptables -A FORWARD -j ACCEPT -p tcp --dport 8080 -s 0/0 -i eth1
#iptables -A FORWARD -j ACCEPT -p tcp --sport 8080 -d 192.168.0.20 -o eth1

#Perfect-W2k4S (8000) From Lan to wan
iptables -A FORWARD -j ACCEPT -p tcp --dport 8000 -s 0/0 -i eth1
iptables -A FORWARD -j ACCEPT -p tcp --sport 8000 -d 192.168.0.13 -o eth1

#Counterstrike From Lan to Wan
iptables -A FORWARD -j ACCEPT -p tcp --dport 27030:27039 -s 0/0 -i eth1
iptables -A FORWARD -j ACCEPT -p tcp --sport 27030:27039 -d 192.168.0.2 -o eth1
iptables -A FORWARD -j ACCEPT -p udp --dport 1200 -s 0/0 -i eth1
iptables -A FORWARD -j ACCEPT -p udp --sport 1200 -d 192.168.0.2 -o eth1
iptables -A FORWARD -j ACCEPT -p udp --dport 27000:29000 -s 0/0 -i eth1
iptables -A FORWARD -j ACCEPT -p udp --sport 27000:29000 -d 192.168.0.2 -o eth1

echo "
###########################################################################################
                    LAN to WAN completed
###########################################################################################
" 

###########################################################################################
#                                      From Lan to Firewall                               #
###########################################################################################

#SSH (22) From Lan to Firewall
iptables -A INPUT -j ACCEPT -p tcp --dport 22 -s 192.168.0.0/24 -d 10.0.1.2 -i eth1
iptables -A OUTPUT -j ACCEPT -p tcp --sport 22 -s 10.0.1.2 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -o eth1

#SSH (2638) From Lan to Firewall
iptables -A INPUT -j ACCEPT -p tcp --dport 2638 -s 192.168.0.0/24 -d 10.0.1.2 -i eth1
iptables -A OUTPUT -j ACCEPT -p tcp --sport 2638 -s 10.0.1.2 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -o eth1

#Perfect-Webcam (8080) From Lan to Firewall
#iptables -A INPUT -j ACCEPT -p tcp --dport 8080 -s 192.168.0.0/24 -d 10.0.1.2 -i eth1
#iptables -A OUTPUT -j ACCEPT -p tcp --sport 8080 -s 10.0.1.2 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED  -o eth1

#FTP
iptables -A INPUT -j ACCEPT -p tcp --sport 21 -s 192.168.0.0/24 -i eth1
iptables -A OUTPUT -j ACCEPT -p tcp --sport 21 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -o eth1

#perfect-pdu
iptables -A INPUT -j ACCEPT -p tcp --sport 2638 -s 192.168.0.0/24 -i eth1
iptables -A OUTPUT -j ACCEPT -p tcp --sport 2638 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -o eth1

#FTP (21:20) From Wan to Firewall
iptables -A INPUT -j ACCEPT  -p tcp --sport 21 -i eth0
iptables -A OUTPUT -j ACCEPT -p tcp --dport 21 -o eth0

#Samba (allow network share)
iptables -A INPUT -j ACCEPT -p tcp --sport 445 -s 192.168.0.13 -i eth1 
iptables -A OUTPUT -j ACCEPT -p tcp --dport 445 -d 192.168.0.13 -o eth1

echo "
###########################################################################################
                    LAN to Firewall completed
###########################################################################################
"

###########################################################################################
#                                        From Wan to Firewall                             #
###########################################################################################

#SSH (22) From Wan to Firewall
iptables -A INPUT   -j ACCEPT -p tcp --dport 22 -s 0/0 -d 10.0.1.2 -i eth0
iptables -A OUTPUT  -j ACCEPT -p tcp --sport 22 -s 10.0.1.2 -d 0/0 -o eth0

#FTP (21:20) From Wan to Firewall
iptables -A INPUT -j ACCEPT  -p tcp --sport 21 -i eth0
iptables -A OUTPUT -j ACCEPT -p tcp --dport 21 -o eth0

#Perfect-Webcam (8080) From Wan to Firewall
iptables -A INPUT -j ACCEPT -p tcp --dport 8080 -s 0/0 -d 10.0.1.2 -i eth0
iptables -A OUTPUT -j ACCEPT -p tcp --sport 8080 -s 10.0.1.2 -d 0/0 -o eth0

#Perfect-https (443) From Wan to Firewall
iptables -A INPUT -j ACCEPT -p tcp  -s 0/0 -d 10.0.1.2 -i eth0
iptables -A OUTPUT -j ACCEPT -p tcp -s 10.0.1.2 -d 0/0 -o eth0

#Perfect-http (2638) From Wan to Firewall
iptables -A INPUT -j ACCEPT -p tcp --dport 2638  -i eth0
iptables -A OUTPUT -j ACCEPT -p tcp --sport 2638  -o eth0

#perfect-mysql (5001) From Wan to Firewall
iptables -A INPUT -j ACCEPT -p tcp --dport 5001 -i eth0
iptables -A OUTPUT -j ACCEPT -p tcp --sport 5001 -o eth0

#MSN From Firewall to WAN(1863)
iptables -A OUTPUT -j ACCEPT -p tcp --sport 1863 -o eth0
iptables -A INPUT -j ACCEPT -p tcp --dport 1863 -i eth0

#allow ICMP outgoing ping 

iptables -A OUTPUT -p icmp --icmp-type echo-request -j LOG --log-level 7 --log-prefix "ICMP Request: "
iptables -A INPUT -p icmp --icmp-type echo-reply -j LOG --log-level 7 --log-prefix "ICMP Reply: "
iptables -A OUTPUT -p icmp --icmp-type 8 -s 10.0.1.2 -j ACCEPT -o eth0
iptables -A INPUT -p icmp --icmp-type 0 -d 10.0.1.2 -m state --state ESTABLISHED,RELATED -j ACCEPT -i eth0
iptables -A INPUT -j LOG --log-prefix "INPUT packets " --log-level 7 
iptables -A OUTPUT -j LOG --log-prefix "OUTPUT packets " --log-leve 7
iptables -A FORWARD -j LOG --log-prefix "FORWARD packets " --log-level 7
echo "
###########################################################################################
                    WAN to Firewall completed
###########################################################################################
"

###########################################################################################
#                                          Portfowarding                                  #
###########################################################################################

#port forward Utorrent
iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 34967 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 6881:6889 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 8008 -j DNAT --to 192.168.0.2

#port forward Perfect-Webcam
# iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 8080 -j DNAT --to 192.168.0.2:8080

#port forward Perfect-Windows2008Server
iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 8000 -j DNAT --to 192.168.0.13:8000

#port forward exchange
iptables -t nat -A PREROUTING -i eth0 -p TCP --dport 443 -j DNAT --to 192.168.0.13

echo "
###########################################################################################
                    Portforwarding Completed
###########################################################################################
"

###########################################################################################
#                       QOS                   #
###########################################################################################

#iptables -t mangle -A PREROUTING -p tcp --sport http -j TOS --set-tos Maximize-delay
#iptables -t mangle -A PREROUTING -p tcp --sport http -j TOS --set-tos Minimize-Throughput
#iptables -t mangle -A PREROUTING -p tcp --sport 22 -j  TOS --set-tos Maximize-Throughput
#iptables -t mangle -A PREROUTING -p tcp --sport 22 -j TOS --set-tos Minimize-delay

#Counterstrike From Lan to Wan
#iptables -t mangle -A PREROUTING -p tcp --dport 27030:27039 -j TOS --set-tos Minimize-delay
#iptables -t mangle -A PREROUTING -p tcp --sport 27030:27039 -j TOS --set-tos Minimize-delay
#iptables -t mangle -A PREROUTING -p udp --dport 1200 -j TOS --set-tos Minimize-delay
#iptables -t mangle -A PREROUTING -p udp --sport 1200 -j TOS --set-tos Minimize-delay
#iptables -t mangle -A PREROUTING -p udp --dport 27000:29000 -j TOS --set-tos Minimize-delay
#iptables -t mangle -A PREROUTING -p udp --sport 27000:29000 -j TOS --set-tos Minimize-delay

#Default DROP ALL
#iptables -P FORWARD DROP
#iptables -P INPUT DROP
#iptables -P OUTPUT DROP

iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT

echo "
###########################################################################################
                    QOS Completed                    
###########################################################################################
"

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

zaterdag 24 oktober 2009 16:37

Acties:
  • 0 Henk 'm!
  • cherwin
  • Registratie: Maart 2006
  • Niet online

cherwin

Je moet eerst loggen alvorens je ACCEPT targets gebruikt, het pakket is allang verder in de stack gepushed.

[ Voor 14% gewijzigd door cherwin op 24-10-2009 17:15 ]

Tell me your problem, not the solution you think I should build for you.

zaterdag 24 oktober 2009 16:49

Acties:
  • 0 Henk 'm!
  • battler
  • Registratie: November 2004
  • Laatst online: 30-06 15:11

battler

Topicstarter
Ahh!! Perfect het werkt. Alleen snap ik het probleem niet.

IPTABLES voert de regels gewoon uit in geschreven volgorde?
Waarom logt hij de data niet na een accept?

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

zaterdag 24 oktober 2009 17:04

Acties:
  • 0 Henk 'm!
  • cherwin
  • Registratie: Maart 2006
  • Niet online

cherwin

Omdat iptables het pakketje niet meer verwerkt nadat er een ACCEPT is geweest. Er is geen reden om een pakketje nog verder te evalueren als deze al is geaccepteerd.

[ Voor 35% gewijzigd door cherwin op 24-10-2009 17:12 ]

Tell me your problem, not the solution you think I should build for you.

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq