Re: Leer logs de iptables con ULOG

[Iñaki]

El Miércoles, 9 de Noviembre de 2005 03:25, Alejandro escribió:
|| Hola, tengo un script de iptables hecho a mano con algunas lineas que
|| logueo usando el target -j ULOG, y por supuesto ya instale el paquete
|| ulogd.
||
|| Ya configure el /etc/ulogd.conf, y finalmente puedo ver los logs en el
|| archivo /var/log/ulog/syslogemu.log
||
|| Pero la verdad que es complicado ver logs en un archivo de texto, por lo
|| cual necesito que me indiquen algun programita que haga de interface
|| para leer los logs desde ese archivo, y que sea mas amigable y me
|| permita cosas como buscar strings como "log de input" o "log de ssh", etc.


Yo creo que sabiendo manejar el comando "tail" y "grep" tienes las 
herramientas más prácticas para examinar tus logs.

Ejemplo:   

  tail -f /var/log/ulog/syslogemu.log | grep "ssh" 
  (para mostrar inmediatamente sucesos ssh)

  tail -1000 /var/log/ulog/syslogemu.log | grep "input"
  (para ver de las últimas 1000 líneas del log aquellas relacinadas con 
"input").


Tal vez busques otra cosa, nada que objetar entonces.

Suerte.





-- 
que a mí ni me va ni me viene... pero por comentar...

Leer logs de iptables con ULOG

[Alejandro]

Hola, tengo un script de iptables hecho a mano con algunas lineas que 
logueo usando el target -j ULOG, y por supuesto ya instale el paquete ulogd.


Ya configure el /etc/ulogd.conf, y finalmente puedo ver los logs en el 
archivo /var/log/ulog/syslogemu.log


Pero la verdad que es complicado ver logs en un archivo de texto, por lo 
cual necesito que me indiquen algun programita que haga de interface 
para leer los logs desde ese archivo, y que sea mas amigable y me 
permita cosas como buscar strings como "log de input" o "log de ssh", etc.


Desde ya muchas gracias.


Alejandro


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

No consigo ver los logs de iptables.

[Pablo Braulio]

Hola a todos.

Estoy tratando de configurar reglas en mi firewall para que me genere los 
logs, pero no consigo verlos.

El firewall es un equipo situado en la entrada de la red que redirige el 
tráfico hacía la red interna. Permite llamadas a los puertos smtp, web, ssl, 
y ssh, redirigiendo los paquetes a otros equipos (según los casos).

El caso es que quiero poder ver los logs de las conexiones que se generen y 
para eso he creado lineas que generen estos, pero no los veo.

Estas son las reglas del script, por si alguien me puede ayudar a como 
hacerlo.

---

#!/bin/bash


case "$1" in
start)

#Limpieza de reglas.
echo -n "Limpiando reglas iptables: "
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
echo "hecho."

#Cargando modulos.
echo -n "Cargando modulos: "
/sbin/depmod -a
modprobe ip_tables
modprobe ip_conntrack
modprobe iptable_filter
modprobe iptable_nat
modprobe ipt_state
modprobe ipt_MASQUERADE
modprobe ipt_LOG
modprobe ip_nat_irc
echo "hecho."   


#Forwarding.
echo -n "Activando forwarding: "
echo "1"> /proc/sys/net/ipv4/ip_forward
echo "hecho."

#Política por defecto.
echo -n "Aplicando política: "
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
echo "hecho."

#NAT
echo -n "Activando NAT: "
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j 
MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.2 -o eth0 -j 
MASQUERADE
echo "hecho."

#Interfaz lo.
echo -n "Activando interfaz lo: "
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
echo "hecho."

##Acceso

#Bloqueo de ip chungas.
#Este bucle coje las ips almacenadas en 
/root/seguridad/ip_cungas.txt
echo -n "Bloqueando ip's no deseadas: "
for bloqueo in `cat /root/seguridad/ip_chungas.txt` ; do
iptables -A INPUT -i eth0 -s $bloqueo -p tcp --dport 
22 -j DROP
iptables -A INPUT -i eth0 -s $bloqueo -p udp --dport 
22 -j DROP

iptables -A FORWARD -i eth0 -s $bloqueo -p tcp --dport 
22 -j DROP
iptables -A FORWARD -i eth0 -s $bloqueo -p udp --dport 
22 -j DROP

iptables -A INPUT -i eth0 -s $bloqueo -p tcp --dport 
80 -j DROP
iptables -A FORWARD -i eth0 -s $bloqueo -p tcp --dport 
80 -j DROP

iptables -A INPUT -i eth0 -s $bloqueo -p tcp --dport 25 
-j DROP
iptables -A INPUT -i eth0 -s $bloqueo -p udp --dport 25 
-j DROP
iptables -A FORWARD -i eth0 -s $bloqueo -p tcp --dport 
25 -j DROP

iptables -A INPUT -i eth0 -s $bloqueo -p tcp --dport 
443 -j DROP
iptables -A INPUT -i eth0 -s $bloqueo -p udp --dport 
443 -j DROP
iptables -A FORWARD -i eth0 -s $bloqueo -p tcp --dport 
443 -j DROP
done
echo "hecho."

#SSH
#ssh desde fuera redireccionado al server.
echo -n "Activando redireccionamiento conexión ssh externa al 
server: "
iptables -A INPUT -i eth0 -p tcp --dport 22 -j LOG --log-prefix 
"CONEXION_SSH"
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -m 
state --state 
NEW,ESTABLISHED,RELATED -j DNAT --to 192.168.1.2:22

iptables -A FORWARD -i eth0 -p tcp --dport 22 -m state --state 
NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o eth0 -p tcp --sport 22 -m state --state 
NEW,ESTABLISHED,RELATED -j ACCEPT
echo "hecho."

#Interfaces internas.
echo -n "Activando interfaces eth1 eth2: "
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT

iptables -A INPUT -i eth1 -s 192.168.1.0/24 -j ACCEPT 
iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j ACCEPT

echo "hecho."

#Redireccionamiento peticiones web.
echo -n "Redireccionando peticiones web: "
iptables -A I

Logs de Iptables (Solucionado)

[Simón Pena]

On Mon, 21 Mar 2005 23:31:00 +0100, Simón Pena <[EMAIL PROTECTED]> wrote:
> Saludos:
> Quería poner en mi sistema iptables, y hasta ahora lo probé con
> firestarter. El caso es que mientras lo uso, los logs acaban en
> /var/log/messages, y lo que me interesaba era redirigirlos a un
> archivo sólo para ellos. Eso lo hago en el pure-ftp modificando
> syslogd.conf para redirigir los logs del tipo ftp.* a /var/log/ftp,
> despues de ejecutar el pure-ftpd con la opción -f ftp. El caso era
> saber si es posible hacer algo parecido con iptables.Venga, un saludo.
> 
Vale, miré el man con cuidado, y encontré:
--log-prefix prefix
  Prefix  log  messages  with the specified prefix; up to
29 letters long, and useful for distinguishing mes-
  sages in the logs.
Con esto ya me arreglo yo solito :). Un saludo

Logs de Iptables

[Simón Pena]

Saludos:
Quería poner en mi sistema iptables, y hasta ahora lo probé con
firestarter. El caso es que mientras lo uso, los logs acaban en
/var/log/messages, y lo que me interesaba era redirigirlos a un
archivo sólo para ellos. Eso lo hago en el pure-ftp modificando
syslogd.conf para redirigir los logs del tipo ftp.* a /var/log/ftp,
despues de ejecutar el pure-ftpd con la opción -f ftp. El caso era
saber si es posible hacer algo parecido con iptables.Venga, un saludo.