Re: Firewall escrevendo log no lugar errado
Boa noite Jessica, para logar as regras do Iptables em um arquivo em serapado faça isso: A regra que irá logar deve ficar antes da regra que permitirá ou bloqueará o acesso, por exemplo: iptables -A INPUT -i eth12 -d 172.16.0.3 -p tcp --dport 666 -j LOG --log-prefix "iptables" -> Tenho o SSH rodando na porta 666, criei a regra de fará o log das conexões. iptables -A INPUT -i eth12 -d 172.16.0.3 -p tcp --dport 666 --syn -m state --state NEW -j ACCEPT -> Depois criei a regra que liberará o acesso. Note que a regra logara o acesso como "iptables". Depois crie um rsyslog uma regra para filtrar isso e enviar para o arquivo em separado: :msg, contains, "iptables" /var/log/iptables.log -> essa linha logará tudo que tiver "iptables" no arquivo /var/log/iptables.log & ~-> Essa linha diz para que depois que for logado a mensagem deve ser descartada,evitando o log no messages ou syslog. On Sun, 2012-10-07 at 12:10 -0300, Fabiano Pires wrote: > O iptables só loga o que for especiicado pra ele logar. Assim, você precisa > rever suas regras de FW. Nelas, em algum ponto está a linha que gera esse > log. Para evitar que logue em mais de uma arquivo, reveja as confiurações > do rsyslog, syslog ou syslog-ng (mas entenda o que está fazendo antes de > mexer !!!) > > []'s > Fabiano Pires > http://pragasdigitais.blogspot.com/ > > > > Em 4 de outubro de 2012 15:37, Jessica Nunes escreveu: > > > Boa Tarde pessoal, > > > > Eu trabalho com alguns servidores Linux e em todos eles o firewall está > > escrevendo a mesma mensagem de log > > no /var/log/messages, /var/log/syslog e no /var/log/kern.log, e isso tá > > ficando grande. > > Se alguém tiver uma dica de por que ele tá fazendo isso e o que seria o > > certo dele fazer, onde ele deveria escrever na > > verdade. > > > > Essa é a mensagem lá do log: > > > > Oct 4 15:06:41 server1 kernel: [18274367.072214] *** DROP INPUT *** > > IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:56:00:02:15:08:00 SRC=13.100.0.58 > > DST=13.100.255.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=7590 PROTO=UDP > > SPT=137 DPT=137 LEN=58 > > Oct 4 15:06:41 server1 kernel: [18274367.083022] *** DROP INPUT *** > > IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:56:70:4a:31:08:00 SRC=13.100.1.69 > > DST=13.100.255.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=31282 PROTO=UDP > > SPT=137 DPT=137 LEN=58 > > > > > > Obrigada! > > > > -- > > Jessica Nunes > > Graduanda em Sistemas de Informação na > > UFRPE > > > > -- Adiel de Lima Ribeiro facebook.com/sembr.dyndns.info
Re: Firewall escrevendo log no lugar errado
Boa noite Jessica, para logar as regras do Iptables em um arquivo em serapado faça isso: A regra que irá logar deve ficar antes da regra que permitirá ou bloqueará o acesso, por exemplo: iptables -A INPUT -i eth12 -d 172.16.0.3 -p tcp --dport 666 -j LOG --log-prefix "iptables" -> Tenho o SSH rodando na porta 666, criei a regra de fará o log das conexões. iptables -A INPUT -i eth12 -d 172.16.0.3 -p tcp --dport 666 --syn -m state --state NEW -j ACCEPT -> Depois criei a regra que liberará o acesso. Note que a regra logara o acesso como "iptables". Depois crie no rsyslog uma regra para filtrar isso e enviar para o arquivo em separado: :msg, contains, "iptables" /var/log/iptables.log -> essa linha logará tudo que tiver "iptables" no arquivo /var/log/iptables.log & ~-> Essa linha diz para que depois que for logado a mensagem deve ser descartada,evitando o log no messages ou syslog. On Sun, 2012-10-07 at 12:10 -0300, Fabiano Pires wrote: > O iptables só loga o que for especiicado pra ele logar. Assim, você precisa > rever suas regras de FW. Nelas, em algum ponto está a linha que gera esse > log. Para evitar que logue em mais de uma arquivo, reveja as confiurações > do rsyslog, syslog ou syslog-ng (mas entenda o que está fazendo antes de > mexer !!!) > > []'s > Fabiano Pires > http://pragasdigitais.blogspot.com/ > > > > Em 4 de outubro de 2012 15:37, Jessica Nunes escreveu: > > > Boa Tarde pessoal, > > > > Eu trabalho com alguns servidores Linux e em todos eles o firewall está > > escrevendo a mesma mensagem de log > > no /var/log/messages, /var/log/syslog e no /var/log/kern.log, e isso tá > > ficando grande. > > Se alguém tiver uma dica de por que ele tá fazendo isso e o que seria o > > certo dele fazer, onde ele deveria escrever na > > verdade. > > > > Essa é a mensagem lá do log: > > > > Oct 4 15:06:41 server1 kernel: [18274367.072214] *** DROP INPUT *** > > IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:56:00:02:15:08:00 SRC=13.100.0.58 > > DST=13.100.255.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=7590 PROTO=UDP > > SPT=137 DPT=137 LEN=58 > > Oct 4 15:06:41 server1 kernel: [18274367.083022] *** DROP INPUT *** > > IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:56:70:4a:31:08:00 SRC=13.100.1.69 > > DST=13.100.255.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=31282 PROTO=UDP > > SPT=137 DPT=137 LEN=58 > > > > > > Obrigada! > > > > -- > > Jessica Nunes > > Graduanda em Sistemas de Informação na > > UFRPE > > > > -- Adiel de Lima Ribeiro facebook.com/sembr.dyndns.info
Re: Servidores Desligando sozinho....
Olá Paulino, obrigado pelo reply. Uma das máquinas desliga completamente. A outra, que é mais estranho, tem hora que desliga e tem hora que fica como se fosse em estado de hibernação como vc sugeriu. Como faço para verificar isto? (verificar se está ocorrendo alguma hibernação) ? Olhei o syslog mas não vi nada de estranho.. E vc teria alguma outra sugestão? On 05-10-2012 18:38, Paulino Kenji Sato wrote: Olá, 2012/10/5 Keppler: Olá Pessoal. TEm algo estranho acontecendo com 2 servidores meus. Neles tenho instalado o squeeze amd-64 e eles são servidores somente de internet, ou seja, basicamente rodo um Squid e um Firewall (iptables). Como já disseram, verifique o syslog, em busca de algo suspeito, ou ao menos será possivel determinar quando o ultimo log antes de desligar (e religar) foi feito. Quendas de energia, a não ser que tenha um nobreak sinalizando, não serão registrados, o log simplesmente para em determinada hora. Bem como o uso do botão de reset. Desligamentos intencionais, seja via comando ou pelo botão estarão registrados. O desligamento e total? O led sinalizador de ligado fica apagado? Não estaria entrando em hibernação (suspensão)? Ou, talvez, tenta entrar em suspensão, mas falha e acaba desligando mesmo assim? Se ainda não tiver pistas, use um syslog remoto ou mesmo um console remoto, via serial RS232 ou rede, mantendo o terminal sempre aberto e assim ter as ultimas atividades a mostra. Em maquinas que ficam e precisam estar o tempo todos ligados, e indispensável o uso de um sistema de fornecimento auxiliar de energia, que, pelo menos um sistema que forneça energia para que a maquina desligue de forma adequada. Esses sistemas devem ser capazes de informar ao sistema operacional que houve uma queda de energia. -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5071d37a.5020...@gmail.com
Re: Olá Amigos, chegou a hora!
É uma pena que a votação já seja hoje, mas se ainda der tempo... Quem iria votar nele, por favor, não votem. Quem sabe assim ele compreenda que cada ambiente tem suas regras que devem ser seguidas, se ele não consegue seguir as regras básicas de uma lista como irá respeitar as regras da sociedade??? Em 07-10-2012 08:00, Hélder Pinheiro escreveu: É muito complicado colocar a mail list com moderação? Outra coisa que deveríamos começar a fazer é ir ao site do Debian e denunciar os email no spam Cumprimentos, Hélder Pinheiro No dia 07/10/2012 11:56, "Flavio M Matsumoto"escreveu: Que nome mais infeliz, pensei que era para legalizar o jogo do bicho! Se ainda fosse defender os pinguins, não ficaria tão acintosamente off-topic da lista. Nem sei de que município é este sujeito, mas peço aos membros da lista não votarem nele! Se não nos respeita com spam, não merece nossa confiança. Da minha parte, já denunciei no site abaixo como spam: http://lists.debian.org/debian-user-portuguese/2012/10/msg00094.html -- Prof. Dr. Flávio M. Matsumoto UFPR - ET - Departamento de Química Caixa Postal 19050, 81531-990, Curitiba, PR. Linux user #66569 (http://linuxcounter.net/user/66569.html) Em Sab, Outubro 6, 2012 2:12 am, 43043 - Leandro Bicho Legal escreveu: > Olá amigos e amigas, > > Gostaria de agradecer o grande apoio que venho recebendo diariamente para > minha reeleição de Vereador e apresentar algumas informações. > Apresento inicialmente um pequeno resumo das principais ações: > ... -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cf356194d1096e9ecd3f054f05a8b2f7.squir...@webmail.ufpr.br -- Cleber Ianes cleberianes.blogspot.com -- Linux User #507338 -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5071a914.7000...@yahoo.com.br
Re: Firewall escrevendo log no lugar errado
O iptables só loga o que for especiicado pra ele logar. Assim, você precisa rever suas regras de FW. Nelas, em algum ponto está a linha que gera esse log. Para evitar que logue em mais de uma arquivo, reveja as confiurações do rsyslog, syslog ou syslog-ng (mas entenda o que está fazendo antes de mexer !!!) []'s Fabiano Pires http://pragasdigitais.blogspot.com/ Em 4 de outubro de 2012 15:37, Jessica Nunes escreveu: > Boa Tarde pessoal, > > Eu trabalho com alguns servidores Linux e em todos eles o firewall está > escrevendo a mesma mensagem de log > no /var/log/messages, /var/log/syslog e no /var/log/kern.log, e isso tá > ficando grande. > Se alguém tiver uma dica de por que ele tá fazendo isso e o que seria o > certo dele fazer, onde ele deveria escrever na > verdade. > > Essa é a mensagem lá do log: > > Oct 4 15:06:41 server1 kernel: [18274367.072214] *** DROP INPUT *** > IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:56:00:02:15:08:00 SRC=13.100.0.58 > DST=13.100.255.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=7590 PROTO=UDP > SPT=137 DPT=137 LEN=58 > Oct 4 15:06:41 server1 kernel: [18274367.083022] *** DROP INPUT *** > IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:56:70:4a:31:08:00 SRC=13.100.1.69 > DST=13.100.255.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=31282 PROTO=UDP > SPT=137 DPT=137 LEN=58 > > > Obrigada! > > -- > Jessica Nunes > Graduanda em Sistemas de Informação na > UFRPE > >
Re: Olá Amigos, chegou a hora!
É muito complicado colocar a mail list com moderação? Outra coisa que deveríamos começar a fazer é ir ao site do Debian e denunciar os email no spam Cumprimentos, Hélder Pinheiro No dia 07/10/2012 11:56, "Flavio M Matsumoto" escreveu: > Que nome mais infeliz, pensei que era para legalizar o jogo do bicho! Se > ainda fosse defender os pinguins, não ficaria tão acintosamente off-topic > da lista. > > Nem sei de que município é este sujeito, mas peço aos membros da lista não > votarem nele! Se não nos respeita com spam, não merece nossa confiança. Da > minha parte, já denunciei no site abaixo como spam: > > http://lists.debian.org/debian-user-portuguese/2012/10/msg00094.html > > -- > Prof. Dr. Flávio M. Matsumoto > UFPR - ET - Departamento de Química > Caixa Postal 19050, 81531-990, Curitiba, PR. > Linux user #66569 (http://linuxcounter.net/user/66569.html) > > Em Sab, Outubro 6, 2012 2:12 am, 43043 - Leandro Bicho Legal escreveu: > > Olá amigos e amigas, > > > > Gostaria de agradecer o grande apoio que venho recebendo diariamente para > > minha reeleição de Vereador e apresentar algumas informações. > > Apresento inicialmente um pequeno resumo das principais ações: > > > ... > > > -- > To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > Archive: > http://lists.debian.org/cf356194d1096e9ecd3f054f05a8b2f7.squir...@webmail.ufpr.br > >
Re: Olá Amigos, chegou a hora!
Que nome mais infeliz, pensei que era para legalizar o jogo do bicho! Se ainda fosse defender os pinguins, não ficaria tão acintosamente off-topic da lista. Nem sei de que município é este sujeito, mas peço aos membros da lista não votarem nele! Se não nos respeita com spam, não merece nossa confiança. Da minha parte, já denunciei no site abaixo como spam: http://lists.debian.org/debian-user-portuguese/2012/10/msg00094.html -- Prof. Dr. Flávio M. Matsumoto UFPR - ET - Departamento de Química Caixa Postal 19050, 81531-990, Curitiba, PR. Linux user #66569 (http://linuxcounter.net/user/66569.html) Em Sab, Outubro 6, 2012 2:12 am, 43043 - Leandro Bicho Legal escreveu: > Olá amigos e amigas, > > Gostaria de agradecer o grande apoio que venho recebendo diariamente para > minha reeleição de Vereador e apresentar algumas informações. > Apresento inicialmente um pequeno resumo das principais ações: > ... -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cf356194d1096e9ecd3f054f05a8b2f7.squir...@webmail.ufpr.br