Toon posts:

[iptables] Ik wil niet loggen maar doe het toch

Pagina: 1
Acties:

woensdag 12 februari 2003 00:35

Acties:
  • _-= Erikje =-_
  • Registratie: Maart 2000
  • Laatst online: 30-03 15:43

_-= Erikje =-_

Topicstarter
Sinds ik mijn systeempje verbouwd heb (lees opnieuw geinstalleerd met slackware 8.1 ipv 8.0) krijg ik in mijn syslog allemaal entries in de trant van:
code:
1
2
3
4

Feb  9 04:45:31 monique kernel: 
IN=eth1 OUT= MAC=MACADREsS SRC=IP DST=IP LEN=52
 TOS=0x00 PREC=0x00 TTL=1 
ID=20433 PROTO=UDP SPT=520 DPT=520 LEN=32


Nu begreep ik uit de search (en google) dat dat door me syslogd config komt, maar goed, ik wil wel de rest van de *.warn blijven loggen, alleen niet van iptables related stuff.
Is dat ook mogelijk (liefst zonder het firewallscript aan te passen, ben ik een btje huiverig van want die machine staat niet hier in de buurt).
Probleem is namelijk dat me syslogs nu nogal groot worden en ik absoluut niets aan de info heb die daar nu gelogged wordt.

woensdag 12 februari 2003 00:37

Acties:
  • Wilke
  • Registratie: December 2000
  • Laatst online: 22:17

Wilke

Ja en nee (dus: natuurlijk kun je dat wijzigen, maar vermoedelijk niet zonder het script te editen).

Dat is heel simpel: alles waarbij als target staat '-j LOG' wordt gelogd geloof ik. pin me niet op de preciese syntax vast.

maar zonder het firewall script te wijzigen gaat dit denk ik niet lukken.

Dit is trouwens behoorlijk makkelijk uit te vinden met de iptables HOWTO's e.d., zou ik zeggen..?

[ Voor 13% gewijzigd door Wilke op 12-02-2003 00:38 ]

woensdag 12 februari 2003 00:39

Acties:
  • _-= Erikje =-_
  • Registratie: Maart 2000
  • Laatst online: 30-03 15:43

_-= Erikje =-_

Topicstarter
ik log NIETS vanuit me firewallscript, (dus geen -j LOG in me firewall regels)

woensdag 12 februari 2003 01:01

Acties:

Verwijderd

Post je fw script hier eens voor de grap?

woensdag 12 februari 2003 14:19

Acties:
  • _-= Erikje =-_
  • Registratie: Maart 2000
  • Laatst online: 30-03 15:43

_-= Erikje =-_

Topicstarter
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135

#!/bin/bash
echo "*** --- firewall starten --- ***"

#Local IP range ie, internal network adress (end with a 0)
LAN_IP_RANGE="192.168.0.0/24"

#Local IP adress
LAN_IP="192.168.0.1/32"

#Local Broadvast adress (usualy 255)
LAN_BCAST_ADRESS="192.168.0.255/32"

#Loopbackaddress
LOCALHOST="127.0.0.1/32"

#Loopback Interface
LOCAL_IFACE="lo"

#external IP
STATIC_IP="XXX.XXX.XXX.XXX/0"

#External Interface
INET_IFACE="eth1"

#Internal Interface
LAN_IFACE="eth0"

#location of iptables
IPTABLES=`which iptables`

#cleaning modules
/sbin/depmod -a

# Iptables and stuff
/sbin/modprobe ipt_MASQUERADE

# Connection tracking for iptables?
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc

# Enable dynamic ip's and ip forwarding
echo "Turnin on ipv4 forwarding"
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr

# NAT
echo "Turning ON NAT"
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


# Default policy
echo "Default policy DROP"
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT

# Chains for icmp/tcp/udp
echo "Creating icmp_packets chain"
$IPTABLES -N icmp_packets

echo "Creating tcp_packets chain"
$IPTABLES -N tcp_packets

echo "Creating udpincoming_packets chain"
$IPTABLES -N udpincoming_packets

# TCP allowed chain
echo "Creating allowed chain"
$IPTABLES -N allowed
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

# ICMP Rules
echo "Setting ICMP rules"
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 0 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 3 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 5 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

# TCP Rules
echo "Setting TCP rules"
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 20 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 25 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 110 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 443 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 192.168.0.0/0 --dport 138 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 6667 -j allowed

# UDP Rules
echo "Setting UDP rules"
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 53 -j ACCEPT
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 67 -j ACCEPT
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 68 -j ACCEPT
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --dport 67 -j ACCEPT
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --dport 68 -j ACCEPT
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --dport 110 -j ACCEPT
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --dport 443 -j ACCEPT
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 53 -j ACCEPT
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 123 -j ACCEPT
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 2074 -j ACCEPT
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 4000 -j ACCEPT
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 27000:28000 -j ACCEPT


# Anti spoofing
echo "Setting anti spoofing"
$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -s 192.168.0.0/16 -j DROP
$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -s 10.0.0.0/8 -j DROP
$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -s 172.16.0.0/12 -j DROP
$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -s 127.0.0.0/8 -j DROP

# INPUT chain
echo "Setting input chain"
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udpincoming_packets
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BCAST_ADRESS -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LOCAL_IFACE -d $LOCALHOST -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $STATIC_IP -m state --state ESTABLISHED,RELATED -j ACCEPT


# OUTPUT chain
echo "Setting output chain"
$IPTABLES -A OUTPUT -p ALL -s $LOCALHOST -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $STATIC_IP -j ACCEPT

echo "*** --- firewall begonnen --- ***"


nog een probleempje met deze firewall is dat als ik de standaard policies op drop zet er vanaf intern niet naar de webserver op deze machine kan worden gesufd

woensdag 12 februari 2003 15:00

Acties:
  • Buffy
  • Registratie: April 2002
  • Laatst online: 26-12-2024

Buffy

Fire bad, Tree pretty

Vergelijk de output van iptables -L -n -v eens met je script.
Mogelijk dat je packetfilter table meer regels bevat (waaronder een LOG regel) omdat je in je script geen iptables -F en iptables -X hebt staan.

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)

woensdag 12 februari 2003 15:03

Acties:
  • _-= Erikje =-_
  • Registratie: Maart 2000
  • Laatst online: 30-03 15:43

_-= Erikje =-_

Topicstarter
hmm, ik zal even kijken (en idd ff iptables -X en -F toevoegen)


en inderdaad, d'r was ooit lang lang geleden wat met logging gespeeld en dus niet geflushed |:(

Eenieder bedankt.

[ Voor 50% gewijzigd door _-= Erikje =-_ op 12-02-2003 15:24 ]

Pagina: 1
Reageer