Rafael Tomelin escreveu:
Olá pessoal,
Coloquei a seguinte linha "*.alert
-/var/log/firewall.lo" no meu "/etc/syslog.conf" depois reiniciei o
serviço e criei as regras de firewall:
iptables -t nat -I PREROUTING -i eth0 -s 200.200.200.xxx -j LOG
--log-level 1 --log-prefix="CONEXAO com IP 200 >> "
iptables -t nat -I PREROUTING -i eth0 -s 189.189.189.xxx -j LOG
--log-level 1 --log-prefix="CONEXAO com IP 189 >> "
iptables -t nat -I PREROUTING -i eth0 -s 201.201.201.xxx -j LOG
--log-level 1 --log-prefix="CONEXAO com IP 201 >> "
e nao registra os log, o que pode ser?
Mas os logs do iptables não são feitos pelo syslog (e isso quer dizer
que não se usa nenhuma "facility" do syslog para isso).
No meu PC em casa os logs do iptables têm a seguinte cara:
IPTABLES BLOCK: IN=ppp0 OUT= MAC= SRC=80.197.1.234 DST=190.134.10.61
LEN=52 TOS=0x00 PREC=0x00 TTL=111 ID=30679 DF PROTO=TCP SPT=53307
DPT=6881 WINDOW=8192 RES=0x00 SYN URGP=0
Isso é exatamente o que aparece nos logs do computador. Entretanto, veja
como o syslog trabalha:
Dec 16 18:52:46 peligro sshd[22794]: User root from 190.24.142.26 not
allowed because not listed in AllowUsers
Dec 16 20:00:01 peligro cron[13539]: (root) CMD (rm -f
/var/spool/cron/lastrun/cron.hourly)
Além do mais, quando você coloca "*.alert" você quer dizer que tudo o
que for da "categoria" alert vai parar no arquivo determinado. Porém
esse "tudo" corresponde a tudo o que o syslog conhece (serviços,
daemons, etc).
A única coisa que você vai poder fazer é programar o itpables para
mandar as linhas logadas para o /var/log/messages e depois você poderia
usar um script (bash, perl, etc) para "limpar" os logs.
Foi assim que eu fiz num gateway no trabalho.
Até.
--
Miguel Da Silva
Administrador Junior de Sistemas Unix
Centro de Matemática - http://www.cmat.edu.uy
Facultad de Ciencias - http://www.fcien.edu.uy
Universidad de la República - http://www.rau.edu.uy
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
