Автор Тема: Логирование iptables  (Прочитано 2452 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн dr_faust

Логирование iptables
« : 06 Август 2017, 17:54:59 »
Допустим, имеем
iptables -P INPUT DROP
iptables -A INPUT --sport 22 --dport 22 -j ACCEPT

Вопрос: как залогировать политику для цепочки INPUT(iptables -P INPUT DROP)(и возможно ли это впринципе)?

Примечание. К прерванной дискуссии в жабе.
Spoiler: ShowHide

В жабе мы с одним из здешних старожилов поспорили про -P и -A. Позволю высказать свое мнение, хотя я, безусловно, не такой спец и, в частности, iptables только начинаю осваивать.
-P, --policy цепочка цель
Определить стратегию для цепочки. Допустимые цели описаны в разделе ЦЕЛИ настоящего документа. Стратегия может быть задана только для встроенных цепочек и не может быть задана для цепочек определённых пользователем.
-A, --append цепочка определение-правила
Добавить одно или несколько правил в конец указанной цепочки. Если имя источника и/или стока (назначения) соответствует нескольким адресам, правило будет добавлено для всех возможных комбинаций адресов.
-I, --insert цепочка [номер-правила]
определение-правила" В указанной цепочке вставить одно или более правил в позицию заданную номером. Так, если указан номер 1, правило или правила будут вставлены в начало цепочки. Это подразумеваемая позиция, если номер не указан.

Исходя из процитированного, а также из личных садистских опытов над бедным iptables, считаю, что политика цепочки не есть правило, поэтому iptables и не учитывает местоположение сей записи в конфиге, ставь хоть в начале, хоть в середине, хоть в конце массива правил.
Правило — описание ситуации и действий в такой ситуации.
Т.е.
iptables -A INPUT --sport 22 --dport 22 -j ACCEPT
сие означает, что если кто-то будет стучаться на порт 22, то его следует пустить.
Политика цепочки же указывает действие. Которое надо совершить с случае, если на него нет правила.
Допустим, в нашем случае ничего не сказано о dns, следовательно все пакеты, поступающие на порт 53 будут дропаться: такова политика.

P.S.    endru, если что-то неправильно сформулировал, просьб не сильно бить.
 

Оффлайн sidbar

Re: Логирование iptables
« Ответ #1 : 06 Август 2017, 19:44:48 »
Наверное так
iptables -A INPUT -p all -j LOGте пакеты которые разрешены в правилах, не будут в логе.
Devuan GNU/Linux 3 (beowulf) i686, LXDE
 
Пользователи, которые поблагодарили этот пост: dr_faust

Оффлайн endru

Re: Логирование iptables
« Ответ #2 : 07 Август 2017, 04:06:35 »
Добавлю к ответу выше:
в файл /etc/rsyslog.d/10-iptables.conf вносим нужные изменения (если изменения нужны)
при логировании добавляем префиксы:
iptables -P INPUT DROP
iptables -P INPUT DROP -j LOG --log-prefix "iptables: INPUT DROP: "
 
Пользователи, которые поблагодарили этот пост: dr_faust

Оффлайн dr_faust

Re: Логирование iptables
« Ответ #3 : 07 Август 2017, 10:50:53 »
endru
iptables -P INPUT DROP -j LOG --log-prefix "INPUT DROP: " --log-level 7 --log-uid --log-ip-options --log-tcp-options
iptables v1.4.21: Illegal option `-j' with this command

Try `iptables -h' or 'iptables --help' for more information.
Может
iptables -A INPUT -j LOG --log-prefix "INPUT DROP: " --log-level 7 --log-uid --log-ip-options --log-tcp-options
?
« Последнее редактирование: 07 Август 2017, 12:18:14 от dr_faust »
 

Оффлайн RRR777

Re: Логирование iptables
« Ответ #4 : 14 Ноябрь 2017, 15:57:39 »
 Может
iptables -A INPUT -j LOG --log-prefix "INPUT DROP: " --log-level 7 --log-uid --log-ip-options --log-tcp-options
?
[/quote]
Насколько я понимаю работу ipatables. Сначала ты с этим пакетами которые попадают под твой фильтр делаешь действие LOG, указываешь для себя какой-то префикс ит.д.
И сразу после этого с этими же пакетами делаешь DROP (хотя лучше делать REJECT c опциями)
т.е.
iptables -A INPUT -j LOG --log-prefix "INPUT DROP: " --log-level 7 --log-uid --log-ip-options --log-tcp-options
iptables -A INPUT -j DROP
 

Теги: