Problème avec les logs iptables

Problème avec les logs iptables - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 22-05-2003 à 08:33:44    

salut à tous,
j'ai mis en place un firewall sous iptables dans un environement héterogène (linux,windows) depuis le modèle qu'il y a sur www.lea-linux.org qui fait créé deux chaines pour les logs
 
en fait on logue tout ce qui est dropper
 
j'ai deux problèmes  
 
le premier:
mes logues s'affichent sur la console et moi je voudrais que ce soit dans un fichier pour pouvoir les exploiter plus tard ou bien faire des stats comme sur webalizer
 
le  deuxième
j'ai des tas de logue avec mes machines windows qui n'arrettent pas d'écrirent dans ces logs
 
il y a t'il une soluce à mon problème
 
????

Reply

Marsh Posté le 22-05-2003 à 08:33:44   

Reply

Marsh Posté le 23-05-2003 à 07:23:24    

alors personne pour m'aider ???? :pt1cable:

Reply

Marsh Posté le 23-05-2003 à 09:38:32    

il fo que tu modifie syslog.conf :
pour par exmple que ca ne s affiche plus dans syslog mais dans un fichier specifique :
 
*.*;kern.!info   -/var/log/syslog
kern.info        -/var/log/fw/fw.log
 
pour ne plus que ca s'affiche dans la console, par contre j'aimerai  savoir comme on fait ...
 
En ce qui concerne windows qui te remplie tes logs ben tu drop tout ce qui viens des ports 137 à 139 en udp & tcp.
 
A+

Reply

Marsh Posté le 23-05-2003 à 11:50:16    

Pour supprimer des logs certaines "pollutions" généré par un réseau local, j'utilise une chaine nommée "no-log-drop", que je place avant chaque règle "-j LOG" ; bien sur, tout ce qui passe là dedans ne sera jamais loggué, mais bon, c'est du trafic à peu près "normal" pour un réseau local.
 Attention : il ne devrait pas y avoir de chaines "-j ACCEPT" après un saut dans cette chaine "no-log-drop".
 


  # Chaine no-log-drop
  # Un saut vers cette chaine doit etre place juste avant de
  # logguer les paquets rejetes, pour eviter la pollution des
  # logs : la liste des ports a rejeter est dans NO_LOG_PORT_TCP
  # et NO_LOG_PORT_UDP
  # Permet aussi de ne pas logguer les broadcasts avec NO_LOG_BROAD
  # (ou éventuellement certaines adresses IPs)
  NO_LOG_PORT_TCP="139 445"
  NO_LOG_PORT_UDP="67 135 136 137 138 139"
  NO_LOG_BROAD="224.0.0.1 255.255.255.255 192.168.0.255"
  iptables -N no-log
  if [ ! -z "$NO_LOG_BROAD" ]; then
      for brd in $NO_LOG_BROAD; do
          iptables -A no-log-drop -d $brd -j DROP
      done
  fi
  if [ ! -z "$NO_LOG_PORT_TCP" ]; then
      for prt in $NO_LOG_PORT_TCP; do
          iptables -A no-log-drop -p TCP --destination-port $prt -j DROP
     done
  fi
  if [ ! -z "$NO_LOG_PORT_UDP" ]; then
      for prt in $NO_LOG_PORT_UDP; do
          iptables -A no-log-drop -p UDP --destination-port $prt -j DROP
      done
  fi
 


 
 Au niveau des logs sur la console, c'est "klogd" qui les génère. Il faut le lancer avec l'option "-c 3" (par exemple ; lancé par défaut avec "-c 7", il me semble, qui affiche tous les messages du noyau sur la console, ce qui est effectivement très gênant), ce qui n'affichera pas les messages d'infos et de debug du noyau : extrait "man klogd" :

...
The klogd daemon also allows the ability to alter the presentation of
kernel messages to the system console.  
...
In  a  stock  kernel  the default  console  log  level is set to 7.
Any messages with a priority level numerically lower than 7 (higher
priority) appear on the console.
...
   For example, to have the kernel display all messages with a priority
level  of  3 (KERN_ERR) or more severe the following command would
be executed:
                 klogd -c 4
...


 
V'là


Message édité par unk00 le 23-05-2003 à 11:59:41
Reply

Marsh Posté le 25-05-2003 à 22:31:54    

merci pour vos réponses  
@++

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed