Re: Help su iptables.. aggiungere i log per analizzare il traffico
Wannabe.mail ha scritto: > E' possibile con iptables avere un log in tempo reale oppure anche un > log normale da consultare? iptables -I FORWARD 1 -j LOG e poi guardi su /var/log/syslog (o forse messages, non ricordo esattamente). oppure, come detto da compact, mettila subito prima della DROP, quindi in fondo a block se vuoi solo il traffico bloccato. > > Secondo voi, poi, le regole sono buone o sono troppo permissive? Da WAN a LAN (assumo che eth0 sia verso la WAN) mi sembrano tutt'altro che permissive, ovvero non passa il fantasma di un bacillo (il che NON significa che gli utenti della LAN non prenderanno virus, ma mi sembra che questo lo sai già). Da LAN a WAN, beh, passa qualsiasi cosa, quindi il fatto che siano troppo permissive o no dipende da quanto ti fidi degli utenti della LAN e da quale sia lo scopo di questo router/firewall. Lucio. -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Help su iptables.. aggiungere i log per analizzare il traffico
Alle 19:27, domenica 18 febbraio 2007, Wannabe.mail ha scritto: > "vedere" questo traffico, nel senso di vedere ciò che è stato fatto > passare e cio che è stato bloccato. loggare anche il traffico permesso mi sembra inutile a meno che non vuoi tenere traccia di tutte le connessioni che i pc della tua lan generano. comunque per tenere traccia solo dei pacchetti che stabiliscono delle connessioni in uscita/forward da il firewall aggiungi prima della riga: > iptables -A block -m state --state NEW -i ! eth0 -j ACCEPT iptables -A block -m state --state NEW -i ! eth0 -j LOG invece per loggare il traffico che verrebbe droppato dal firewall aggiungi la regola prima della riga: > iptables -A block -j DROP iptables -A block -j LOG ciao compact.
Help su iptables.. aggiungere i log per analizzare il traffico
Mi sono appena configurato iptables con una configurazione semplice seguendo un manuale linux. Il tutto funziona, riesco a far navigare dai vari pc della mia rete. La mia domanda però è questa: Attualmente ho solamente impostato alcune regole che mi governano il traffico ma mi piacerebbe anche "vedere" questo traffico, nel senso di vedere ciò che è stato fatto passare e cio che è stato bloccato. Mi piacerebbe avere cio che si vede ad esempio quando si guarda il log in tempo reale di postfix o di squid dove vedi esattamente ciò che accade.. Per avere in tempo reale il traffico di rete so che si possono usare strumenti tipo iptraf ma questo non mi dice cosa è stato bloccato e cosa no... E' possibile con iptables avere un log in tempo reale oppure anche un log normale da consultare? Secondo voi, poi, le regole sono buone o sono troppo permissive? grazie Ecco le mie regole iptables: #!/bin/bash ## ## FLUSHING CHAIN ## ## ## Flush, svuota le catene predefinite iptables -F iptables -t nat -F iptables -t mangle -F ## CANCELLO LE CATENE iptables -X ## Azzera i contatori sulle catene iptables -Z ## #END FLUSHING CHAIN ## ## # MODULI VARI DA CHIARIRE # modprobe ip_tables modprobe ip_conntrack modprobe iptable_filter modprobe iptable_nat modprobe ipt_MASQUERADE modprobe iptable_nat modprobe ip_nat_ftp # FINE MODULI # SETTING IPFORWARDING - Abilita il forwarding x il NAT # echo 1 > /proc/sys/net/ipv4/ip_forward # END SETTING IPFORWARDING # ## #DEFAULT CHAIN ## # Imposto le policy per i pacchetti in ingresso bloccando il traffico iptables -P INPUT DROP # Imposto le policy per i pacchetti in transito tra le due interfacce bloccando il traffico iptables -P FORWARD DROP # Imposto la policy per i pacchetti in uscita accettando il traffico iptables -P OUTPUT ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -P PREROUTING ACCEPT #END DEFAULT CHAIN ## iptables -N block iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A block -m state --state NEW -i ! eth0 -j ACCEPT iptables -A block -j DROP iptables -A INPUT -j block iptables -A FORWARD -j block iptables -t nat -A POSTROUTING -s 10.10.1.0/24 -d 0/0 -j MASQUERADE -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]