Rocío Vázquez Furelos escribió:
Hola a todos,
he configurado un firewall con iptables y le he añadido algunas reglas
para que me muestre el log de ellas, un ejemplo de una es la siguiente:
iptables -A FORWARD -d 192.168.x.y -p tcp --dport 25 -j LOG --log-level
debug --log-prefix "IPTables_SMTP: "
he recompilado el kernel y le he añadido las opciones para el soporte de
iptables, incluidas las de log.
He añadido en el fichero /etc/syslog.conf una linea como la siguiente:
*.=debug -/var/log/ipt.log
He reiniciado la máquina para que me cogiese la nueva configuración del
kernel y he conseguido que en el directorio /var/log se crease un
fichero ipt.log en el que se muestran los mensajes con nivel debug pero
no se me muestra nada de los mensajes que he añadido a mi script de
iptables, lo único que se muestra es:
Aug 22 10:53:29 firewall kernel: request_module: failed /sbin/modprobe
-- char-major-6-0. error = 65280
Aug 22 10:53:50 firewall kernel: request_module: failed /sbin/modprobe
-- char-major-10-135. error = 65280
Aug 22 10:54:54 firewall kernel: CPU: After generic identify, caps:
0387fbff 00000000 00000000 00000000
Aug 22 10:54:54 firewall kernel: CPU: After vendor identify, caps:
0387fbff 00000000 00000000 00000000
Aug 22 10:54:54 firewall kernel: CPU: After all inits, caps:
0383fbff 00000000 00000000 00000040
Aug 22 10:54:54 firewall kernel: pnp: the driver 'system' has been
registered
Aug 22 10:54:54 firewall kernel: pnp: match found with the PnP device
'00:07' and the driver 'system'
Aug 22 10:54:54 firewall kernel: pnp: match found with the PnP device
'00:08' and the driver 'system'
Aug 22 10:54:54 firewall kernel: pnp: the driver 'serial' has been
registered
Aug 22 10:54:54 firewall kernel: pnp: match found with the PnP device
'00:0b' and the driver 'serial'
Aug 22 10:54:54 firewall kernel: pnp: match found with the PnP device
'00:0e' and the driver 'serial'
Aug 22 10:54:54 firewall kernel: eth0: Identified 8139 chip type
'RTL-8139C'
Aug 22 10:54:54 firewall kernel: eth1: Identified 8139 chip type
'RTL-8100B/8139D'
Aug 22 10:54:54 firewall kernel: request_module: failed /sbin/modprobe
-- char-major-10-135. error = 65280
Aug 22 10:54:54 firewall last message repeated 2 times
Aug 22 10:54:55 firewall kernel: request_module: failed /sbin/modprobe
-- char-major-6-0. error = 65280
y mi problema es que no sé cómo cargar el módulo char-major-6-0. y cómo
resolver el problema del char-major-10-135. De este último buscando en
google en una página( http://www.linuxfromscratch.org/faq/ ) me ponía
que recompilase el kernel con la opción "Character devices" -> "Enhanced
Real Time Clock Support".
Hice esto, pero sigo teniendo el mismo error.
Podríais ayudarme? me gustaría poder tener un log de iptables.
Gracias
hola!
Esta no es una respuesta a tus problemas para configurar iptables para
que guarde logs por el demonio de syslog, es simplemente para sugerirte
que pruebes con ulogd para guardar los logs de iptables en archivos de
texto (y ulgd-mysql o ulogd-pgsql que son los paquetes con soporte para
bases de datos Mysql y Postgresql y ulogd-sqlite3 para testing y
unstable). Segun la pagina de Debian sobre el paquete
http://packages.debian.org/stable/net/ulogd
ulogd is a daemon that listens for Netlink packets generated by
iptables's ULOG target. Basically, it's a replacement for syslog for
logging packets, and does a much better job - it logs to files, mySQL,
PostgreSQL and soon will be able to log remotely.
funciona muy bien y no nesecitas recompilar el kernel si usas uno
original de debian, ademas si elegis el soporte para bases de datos
(ulgd-mysql o ulogd-pgsql) hay un script en php
http://www.inl.fr/Nulog.html muy facil de configurar que te va mostrando
el contenido de la base de datos desde cualquier navegador web y te
permite ordenar por hosts por puertos etc etc, un chiche :) pero tenes
que tener un web server para eso :(
segun lo que logees la base de datos puede crecer MUY rapido: por
ejemplo si pones que logee TODOS los paquetes que iptables manda a
REJECT tendras unos cuantos megas por dia. Y ya que estoy en via
sugerencias :) aqui van otras:
Para bloquear automagicamente ip que tinen muchos errores de paswors:
ataques ssh y tambien para apache: Fail2Ban
http://sourceforge.net/projects/fail2ban y que tiene paquetes para
unstable http://packages.debian.org/unstable/net/fail2ban
y la ultima para no aburrir: knockd un paquete que abre puertos despues
de una secuencia especifica, por ejemplo si quiero abrir el puerto 22,
hago telnet, por ejemplo a los puertos 3456 1234 876 y en ese orden, el
knockd escucha y como es una secuencia valida genera una regla iptables
que abre el puerto 22 y despues telnet a 8734 235 989 y el knockd cierra
el puerto 22 muy facil de configurar y agrega un poco mas de seguridad.
de la pagina de debian: A port-knock server that listens to all traffic
on a given network interface (only Ethernet and PPP are currently
supported), looking for a special "knock" sequences of port-hits. A
remote system makes these port-hits by sending a TCP (or UDP) packet to
a port on the server. When the server detects a specific sequence of
port-hits, it runs a command defined in its configuration file. This can
be used to open up holes in a firewall for quick access.
URL: http://www.zeroflux.org/knock/
suerte !!
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]