Re: logs d'iptables

2005-02-18 Conversa Pepe 
On Wed, Feb 09, 2005 at 09:04:39AM +0100, Albert Sellarès wrote:
> El dt 08 de 02 del 2005 a les 21:18 +0100, en/na Pepe va escriure:
> > He de "RTFM" un poc, pel que sembla.   :-
> 
> jejeje, doncs sips, una miketa, així veuras tot el q pots arrivar a fer.
> 
> El syslog-ng és força intuitiu, i no crec q tinguis massa probemes :)
> 
> 
> Sort!
> 
> 
> -- 
>   Albert SellarèsGPG id: 0xB88C621A 
>   http://www.wekk.net[EMAIL PROTECTED] 
>   Membre de Catux.orghttp://catux.org
>   Linux User: 324456 Catalunya   
> 

Molt de temps després, ja, però si algú estava seguint-ho i li interesa,
pose el meu syslog-ng.conf. Al final vaig aconseguir que els logs
d'iptab les anaren *només a un fitxer*, en lloc de quedar repartits per
tot arreu. Em sembla que a canvi estic patint un cert retard en
l'enmagatzemament de les línies, però ara per ara no és un problema (i
això que tinc "sync(0)" en el fitxer...). Si algú vol fer algun
comentari, per mi perfecte  :-)


Salut,

-- 
--
 EuropeSwPatentFree - http://EuropeSwPatentFree.hispalinux.es
--
http://www.polinux.upv.es / http://www.valux.org / http://www.hispalinux.es
GnuPG key = 0x6FDE933B [D5C4 12CE D6B4 E4D6 7E8E  F128 405A BFAD 6FDE 933B]

#
# Configuration file for syslog-ng under Debian
#
# attempts at reproducing default syslog behavior

# the standard syslog levels are (in descending order of priority):
# emerg alert crit err warning notice info debug
# the aliases "error", "panic", and "warn" are deprecated
# the "none" priority found in the original syslogd configuration is
# only used in internal messages created by syslogd


##
# options

options {
# 
long_hostnames(0);

# the time to wait before a died connection is re-established
# (default is 60)
time_reopen(10);

# the time to wait before an idle destination file is closed
# (default is 60)
time_reap(360);

# the number of lines buffered before written to file
# you might want to increase this if your disk isn't catching with
# all the log messages you get or if you want less disk activity
# (say on a laptop)
# (default is 0)
sync(0);

# the number of lines fitting in the output queue
log_fifo_size(2048);

# enable or disable directory creation for destination files
create_dirs(yes);

# default owner, group, and permissions for log files
# (defaults are 0, 0, 0600)
#owner(root);
group(adm);
perm(0640);

# default owner, group, and permissions for created directories
# (defaults are 0, 0, 0700)
#dir_owner(root);
#dir_group(root);
dir_perm(0755);

# enable or disable DNS usage
# syslog-ng blocks on DNS queries, so enabling DNS may lead to
# a Denial of Service attack
# (default is yes)
use_dns(no);

# maximum length of message in bytes
# this is only limited by the program listening on the /dev/log Unix
# socket, glibc can handle arbitrary length log messages, but -- for
# example -- syslogd accepts only 1024 bytes
# (default is 2048)
#log_msg_size(2048);
};


##
# sources

# all known message sources
source s_all {
# message generated by Syslog-NG
internal();
# standard Linux log source (this is the default place for the syslog()
# function to send logs to)
unix-stream("/dev/log");
# messages from the kernel
file("/proc/kmsg" log_prefix("kernel: "));
# use the above line if you want to receive remote UDP logging messages
# (this is equivalent to the "-r" syslogd flag)
# udp();
};


##
# destinations

# some standard log files
destination df_auth { file("/var/log/auth.log"); };
destination df_syslog { file("/var/log/syslog"); };
destination df_cron { file("/var/log/cron.log"); };
destination df_daemon { file("/var/log/daemon.log"); };
destination df_kern { file("/var/log/kern.log"); };
destination df_lpr { file("/var/log/lpr.log"); };
destination df_mail { file("/var/log/mail.log"); };
destination df_user { file("/var/log/user.log"); };
destination df_uucp { file("/var/log/uucp.log"); };

# these files are meant for the mail and news systems log files
# and provide re-usable destinations for {mail,news,...}.info,
# {mail,news,...}.notice, etc.
destination df_facility_dot_info { file("/var/log/$FACILITY.info"); };
destination df_facility_dot_notice { file("/var/log/$FACILITY.notice"); };
destination df_facility_dot_warn { file("/var/log/$FACILITY.warn"); };
destination df_facility_dot_err { file("/var/log/$FACILITY.err"); };
destination df_facility_dot_crit { file("/var/log/$FACILITY.crit"); };

# some more classical and useful files found in standard syslog c

Re: logs d'iptables

2005-02-09 Conversa Albert Sellarès 
El dt 08 de 02 del 2005 a les 21:13 +0100, en/na Pepe va escriure:
> [EMAIL PROTECTED]:~$ sudo /etc/init.d/syslog-ng start
> Password:
> Starting system logging: syslog-ngunresolved reference: src
> Error initializing configuration, exiting.
>  start failed.

Ups això és moolt lleig, això t'ho deia amb l'arxiu de configuració per
defecte?? Que estrany si vols et puc passar un q tinc jo per aqui...


Sort!

-- 
  Albert SellarèsGPG id: 0xB88C621A 
  http://www.wekk.net[EMAIL PROTECTED] 
  Membre de Catux.orghttp://catux.org
  Linux User: 324456 Catalunya   



signature.asc
Description: =?ISO-8859-1?Q?Aix=F2?= =?ISO-8859-1?Q?_=E9s?= una part	d'un missatge, signada digitalment

Re: logs d'iptables

2005-02-09 Conversa Albert Sellarès 
El dt 08 de 02 del 2005 a les 21:18 +0100, en/na Pepe va escriure:
> He de "RTFM" un poc, pel que sembla.   :-

jejeje, doncs sips, una miketa, així veuras tot el q pots arrivar a fer.

El syslog-ng és força intuitiu, i no crec q tinguis massa probemes :)


Sort!


-- 
  Albert SellarèsGPG id: 0xB88C621A 
  http://www.wekk.net[EMAIL PROTECTED] 
  Membre de Catux.orghttp://catux.org
  Linux User: 324456 Catalunya   



signature.asc
Description: =?ISO-8859-1?Q?Aix=F2?= =?ISO-8859-1?Q?_=E9s?= una part	d'un missatge, signada digitalment

Re: logs d'iptables

2005-02-08 Conversa Pepe 
On Tue, Feb 08, 2005 at 09:13:20PM +0100, Pepe wrote:
> 
[...]
> 
> Ara ho prove. Em pregunte on haurà anat tot el que, de funcionar syslog,
> s'haguera enregistrat...
> 
> 
> Salut,
> 

Vaja. /var/log/iptables s'ompli i això està bé, però els missatges de
log d'iptables continuen veient-se a /var/log/syslog, /var/log/messages
i /var/log/kern.log  :-((

He de "RTFM" un poc, pel que sembla.   :-o

Gràcies per l'ajuda!


Salut,

-- 
--
 EuropeSwPatentFree - http://EuropeSwPatentFree.hispalinux.es
--
http://www.polinux.upv.es / http://www.valux.org / http://www.hispalinux.es
GnuPG key = 0x6FDE933B [D5C4 12CE D6B4 E4D6 7E8E  F128 405A BFAD 6FDE 933B]


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: logs d'iptables

2005-02-08 Conversa Pepe 
On Tue, Feb 08, 2005 at 10:35:47AM +0100, Albert Sellarès wrote:
> El dt 08 de 02 del 2005 a les 09:57 +0100, en/na Pepe va escriure:
> > Hmmm... Gràcies  :)
> 
> A disposar! ^^
> 
> Si et mires una mica el syslog-ng veuràs q tb et permet enviar emails,
> així com executar qualsevol programa, cosa q pot ser mooolt útil! :)
> 
> 
> Sort!
> 
> -- 
>   Albert SellarèsGPG id: 0xB88C621A 
>   http://www.wekk.net[EMAIL PROTECTED] 
>   Membre de Catux.orghttp://catux.org
>   Linux User: 324456 Catalunya   
> 

Malament! Des que vaig instal·lar syslog-ng, no tinc RES en
/var/log/messages ni en cap altre fitxer de log.

Em passava açò:

[EMAIL PROTECTED]:~$ ps -ef|grep sysl
pepe  4391  4383  0 21:08 pts/100:00:00 grep sysl
[EMAIL PROTECTED]:~$ sudo /etc/init.d/syslog-ng start
Password:
Starting system logging: syslog-ngunresolved reference: src
Error initializing configuration, exiting.
 start failed.
[EMAIL PROTECTED]:/etc/syslog-ng$ grep src syslog-ng.conf
log { source(src); filter(iptables); destination(iptables-log);  };
[EMAIL PROTECTED]:/etc/syslog-ng$ sudo vim syslog-ng.conf
/* Canviar el "src" de dalt per "s_all" */
[EMAIL PROTECTED]:/etc/syslog-ng$ sudo /etc/init.d/syslog-ng start
Starting system logging: syslog-ng.


Ara ho prove. Em pregunte on haurà anat tot el que, de funcionar syslog,
s'haguera enregistrat...


Salut,

-- 
--
 EuropeSwPatentFree - http://EuropeSwPatentFree.hispalinux.es
--
http://www.polinux.upv.es / http://www.valux.org / http://www.hispalinux.es
GnuPG key = 0x6FDE933B [D5C4 12CE D6B4 E4D6 7E8E  F128 405A BFAD 6FDE 933B]


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: logs d'iptables

2005-02-08 Conversa Albert Sellarès 
El dt 08 de 02 del 2005 a les 09:57 +0100, en/na Pepe va escriure:
> Hmmm... Gràcies  :)

A disposar! ^^

Si et mires una mica el syslog-ng veuràs q tb et permet enviar emails,
així com executar qualsevol programa, cosa q pot ser mooolt útil! :)


Sort!

-- 
  Albert SellarèsGPG id: 0xB88C621A 
  http://www.wekk.net[EMAIL PROTECTED] 
  Membre de Catux.orghttp://catux.org
  Linux User: 324456 Catalunya   



signature.asc
Description: =?ISO-8859-1?Q?Aix=F2?= =?ISO-8859-1?Q?_=E9s?= una part	d'un missatge, signada digitalment

Re: logs d'iptables

2005-02-08 Conversa Pepe 
On Sun, Feb 06, 2005 at 04:37:17PM +0100, Albert Sellarès wrote:
> 
> > Mira, són línies com aquestes:
> > 
> > Jan 30 16:53:25 apta kernel: RPC:IN=eth0 OUT=
> > MAC=00:0b:6a:95:5f:63:00:a0:c5:8f:58:65:08:00 SRC=80.15.248.24
> > DST=192.168.1.31 LEN=60 TOS=0x00 PREC=0x00 TTL=47 ID=15100 DF PROTO=TCP
> > SPT=53976 DPT=111 WINDOW=5840 RES=0x00 SYN URGP=0
> > 
> > Jan 30 16:53:28 apta kernel: RPC:IN=eth0 OUT=
> > MAC=00:0b:6a:95:5f:63:00:a0:c5:8f:58:65:08:00 SRC=80.15.248.24
> > DST=192.168.1.31 LEN=60 TOS=0x00 PREC=0x00 TTL=47 ID=15101 DF PROTO=TCP
> > SPT=53976 DPT=111 WINDOW=5840 RES=0x00 SYN URGP=0
> > 
> > (Són dues línies, tallades per a que resulten més legibles)
> > 
> > Faig servir syslog, simplement.
> 
> Perdona haver tardat tant, resulta q el teu correu m'havia quedat
> abandonat per aki... :_
> 
> La solució q et dono, és instal·lar el paquet syslog-ng, i aplicar-hi un
> filtre, és a dir:
> 
> apt-get install syslog-ng
> 
> i afegir unes linies com les següents a
> l'arxiu /etc/syslog-ng/syslog-ng.log:
> 
> 
> destination iptables-log { file("/var/log/iptables.log" owner("root")
> group("adm") perm(0640)); };
> filter iptables { match ("RPC"); };
> log { source(src); filter(iptables); destination(iptables-log);  };
> 
> Ja diras si et va bé.
> 
> Sort!
> 

Hmmm... Gràcies  :)


Tinc açò en /etc/syslog-ng/syslog-ng.conf:



destination iptables-log { file("/var/log/iptables.log" owner("root") 
group("adm") perm(0640)); };
filter iptables { match ("RPC"); };
filter iptables { match ("statd"); };
filter iptables { match ("nfsd"); };
filter iptables { match ("nlockmgr"); };
filter iptables { match ("mountd"); };
filter iptables { match ("apta FIREWALL"); };
log { source(src); filter(iptables); destination(iptables-log);  };



Com que feia dies que no rebia intents d'accés per NFS, he afegit com a
última regla d'INPUT en el meu firewall açò:


$IPTABLES -A INPUT -m state --state NEW -s! $LAN $LOG_LIMIT -j LOG \
--log-prefix "apta FIREWALL:" --log-level warning

* Info. adicional:
IPTABLES=/sbin/iptables
LOG_LIMIT="-m limit --limit 6/hour --limit-burst 5"


És curiós. Si faig un telner (port 23), que no està permés, no ix a
/var/log/iptables.log. Ho he d'estudiar, perquè ho acabe d'afegir i ara
no puc dedicar-m'hi massa.

> 
> -- 
>   Albert SellarèsGPG id: 0xB88C621A 
>   http://www.wekk.net[EMAIL PROTECTED] 
>   Membre de Catux.orghttp://catux.org
>   Linux User: 324456 Catalunya   
> 


Gràcies per tot,

-- 
--
 EuropeSwPatentFree - http://EuropeSwPatentFree.hispalinux.es
--
http://www.polinux.upv.es / http://www.valux.org / http://www.hispalinux.es
GnuPG key = 0x6FDE933B [D5C4 12CE D6B4 E4D6 7E8E  F128 405A BFAD 6FDE 933B]


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: logs d'iptables

2005-02-06 Conversa Albert Sellarès 

> Mira, són línies com aquestes:
> 
> Jan 30 16:53:25 apta kernel: RPC:IN=eth0 OUT=
> MAC=00:0b:6a:95:5f:63:00:a0:c5:8f:58:65:08:00 SRC=80.15.248.24
> DST=192.168.1.31 LEN=60 TOS=0x00 PREC=0x00 TTL=47 ID=15100 DF PROTO=TCP
> SPT=53976 DPT=111 WINDOW=5840 RES=0x00 SYN URGP=0
> 
> Jan 30 16:53:28 apta kernel: RPC:IN=eth0 OUT=
> MAC=00:0b:6a:95:5f:63:00:a0:c5:8f:58:65:08:00 SRC=80.15.248.24
> DST=192.168.1.31 LEN=60 TOS=0x00 PREC=0x00 TTL=47 ID=15101 DF PROTO=TCP
> SPT=53976 DPT=111 WINDOW=5840 RES=0x00 SYN URGP=0
> 
> (Són dues línies, tallades per a que resulten més legibles)
> 
> Faig servir syslog, simplement.

Perdona haver tardat tant, resulta q el teu correu m'havia quedat
abandonat per aki... :_

La solució q et dono, és instal·lar el paquet syslog-ng, i aplicar-hi un
filtre, és a dir:

apt-get install syslog-ng

i afegir unes linies com les següents a
l'arxiu /etc/syslog-ng/syslog-ng.log:


destination iptables-log { file("/var/log/iptables.log" owner("root")
group("adm") perm(0640)); };
filter iptables { match ("RPC"); };
log { source(src); filter(iptables); destination(iptables-log);  };

Ja diras si et va bé.

Sort!


-- 
  Albert SellarèsGPG id: 0xB88C621A 
  http://www.wekk.net[EMAIL PROTECTED] 
  Membre de Catux.orghttp://catux.org
  Linux User: 324456 Catalunya   



signature.asc
Description: =?ISO-8859-1?Q?Aix=F2?= =?ISO-8859-1?Q?_=E9s?= una part	d'un missatge, signada digitalment

Re: logs d'iptables

2005-02-01 Conversa Pepe 
On Tue, Feb 01, 2005 at 11:43:28AM +0100, Albert Sellarès wrote:
> El dt 01 de 02 del 2005 a les 00:03 +0100, en/na Pepe va escriure:
> > 
> > Ep! Hola. He llegit açò:
> > 
> > https://lists.netfilter.org/pipermail/netfilter/2003-September/046490.html
> > 
> > , i m'agradaria saber si hi ha alguna manera de fer que iptables envie
> > els logs ("-j LOG") a un fitxer específic en lloc de a /var/log
> > kern.log
> > i /var/log/messages. Alguna idea? És que això de que se'm barrege el
> > contingut normal de messages amb el que tira el firewall no m'agrada
> > gens...
> 
> Doncs amb el syslog no hauries de tenir cap problema per fer-ho... si no
> saps com fer-ho digues quin uses (metalog, syslog-ng, syslog), envia un
> tros de les linies q voldries separar, i t'ajudo :)
> 
> Sort!

Mira, són línies com aquestes:

Jan 30 16:53:25 apta kernel: RPC:IN=eth0 OUT=
MAC=00:0b:6a:95:5f:63:00:a0:c5:8f:58:65:08:00 SRC=80.15.248.24
DST=192.168.1.31 LEN=60 TOS=0x00 PREC=0x00 TTL=47 ID=15100 DF PROTO=TCP
SPT=53976 DPT=111 WINDOW=5840 RES=0x00 SYN URGP=0

Jan 30 16:53:28 apta kernel: RPC:IN=eth0 OUT=
MAC=00:0b:6a:95:5f:63:00:a0:c5:8f:58:65:08:00 SRC=80.15.248.24
DST=192.168.1.31 LEN=60 TOS=0x00 PREC=0x00 TTL=47 ID=15101 DF PROTO=TCP
SPT=53976 DPT=111 WINDOW=5840 RES=0x00 SYN URGP=0

(Són dues línies, tallades per a que resulten més legibles)

Faig servir syslog, simplement.

> 
> -- 
>   Albert SellarèsGPG id: 0xB88C621A 
>   http://www.wekk.net[EMAIL PROTECTED] 
>   Membre de Catux.orghttp://catux.org
>   Linux User: 324456 Catalunya   
> 



Salut,

-- 
--
 EuropeSwPatentFree - http://EuropeSwPatentFree.hispalinux.es
--
http://www.polinux.upv.es / http://www.valux.org / http://www.hispalinux.es
GnuPG key = 0x6FDE933B [D5C4 12CE D6B4 E4D6 7E8E  F128 405A BFAD 6FDE 933B]


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: logs d'iptables

2005-02-01 Conversa Albert Sellarès 
El dt 01 de 02 del 2005 a les 00:03 +0100, en/na Pepe va escriure:
> 
> Ep! Hola. He llegit açò:
> 
> https://lists.netfilter.org/pipermail/netfilter/2003-September/046490.html
> 
> , i m'agradaria saber si hi ha alguna manera de fer que iptables envie
> els logs ("-j LOG") a un fitxer específic en lloc de a /var/log
> kern.log
> i /var/log/messages. Alguna idea? És que això de que se'm barrege el
> contingut normal de messages amb el que tira el firewall no m'agrada
> gens...

Doncs amb el syslog no hauries de tenir cap problema per fer-ho... si no
saps com fer-ho digues quin uses (metalog, syslog-ng, syslog), envia un
tros de les linies q voldries separar, i t'ajudo :)

Sort!

-- 
  Albert SellarèsGPG id: 0xB88C621A 
  http://www.wekk.net[EMAIL PROTECTED] 
  Membre de Catux.orghttp://catux.org
  Linux User: 324456 Catalunya   



signature.asc
Description: =?ISO-8859-1?Q?Aix=F2?= =?ISO-8859-1?Q?_=E9s?= una part	d'un missatge, signada digitalment