Message "gonflant" mes log's

par **dlalleme** » 26 Oct 2004 10:03

Bonjour,

J'ai ce message qui s'écrit environ toutes les 5 ou 6 secondes; ce qui gonflent de manière importante ma log message.

Code: Tout sélectionner: kernel: denylog:IN=eth1 OUT= MAC=00:08:54:1b:30:ad:00:07:cb:08:b1:33:08:00 SRC=81.56.138.82 DST=81.56.139.90 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=37087 DF PROTO=TCP SPT=3263 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0

Par quels moyens puis-je diminuer cette inflation de caractères ??????
Quelle est le signification de ce message ?

Cordialement

Denis

par **vanvan** » 26 Oct 2004 10:20

81.56.138.82 c une machine de ton parc ?

par **dlalleme** » 26 Oct 2004 10:50

Hello,

vanvan a écrit:81.56.138.82 c une machine de ton parc ?

Je ne sais pas à quoi (qui) correspond cette adresse. Ce n'est pas toujours la même IP.
Par contre, 81.56.139.90 est mon ip fixe.

Cordialement

Denis

par **jpcheney** » 26 Oct 2004 13:17

c'est normal
c'est ton firewall qui repond et qui log tous les paquets qui tentent de passer certaines regles

tu peux enlever le log de ces paquets
/sbin/e-smith/db configuration setprop masq Logging none
/sbin/e-smith/expand-template /etc/rc.d/init/d/masq
service masq restart

ou
/sbin/e-smith/db configuration setprop masq Logging none
/sbin/e-smith/signal-event post-upgrade
/sbin/e-smith/signal-event reboot

par **dlalleme** » 26 Oct 2004 13:54

Merci Jeep pour ta réponse, mais peux-tu m'expliquer en deux mots le but de ces commandes.
Je fais la différence entre les deux solutions; c'est la commande sur masq que je ne comprend pas ....

Cordialement

Denis

par **jpcheney** » 26 Oct 2004 14:30

/sbin/e-smith/db modifie ou affiche la "base" de config de SME
configuration est une de ces bases

fait un
/sbin/e-smith/db configuration show | less
pour visualiser ce que tu peux modifier (entre autre)

si tu as d'autres questions, n'hesites pas ...

par **sibsib** » 26 Oct 2004 21:07

Salut,

Pour élargir un tout petit peu :

Dans la configuration de masq (qui est en fait le script qui configure les firewall, quasi essentiellement le paramétrage de iptable), il existe une règle qui est exécuté pour tous les paquets filtrée.

Cette règle est paramétrable à 3 niveaux pour l'enregistrement des paquets filtrés.

Les niveaux se définissent ainsi :

Code: Tout sélectionner: /sbin/e-smith/db configuration setprop masq Logging none

Aucun enregistrement

Code: Tout sélectionner: /sbin/e-smith/db configuration setprop masq Logging all

tout est enregistré. Il semble que ce soit maintenant la valeur par défaut de SME.

Code: Tout sélectionner: /sbin/e-smith/db configuration setprop masq Logging most

Tout est enregistré, sauf les paquets de type Microsoft (udp et tcp entre 137 et 139) et les paquets rip (udp 520)

Une fois ce paramètre changé, il faut :
-> régénérer le fichier /etc/rc.d/init.d/masq

Code: Tout sélectionner: /sbin/e-smith/expand-template /etc/rc.d/init/d/masq

-> redémarrer le firewall, pour prise en compte des paramètres :

Code: Tout sélectionner: service masq restart

Evidemment, les lignes à enregister ou non peuvent être tunées.

Le fichier qui scripte tout çà se trouve ici :

Code: Tout sélectionner: /etc/e-smith/templates/etc/rc.d/init.d/masq/90adjustDenyLog

il suffit de le copier en

Code: Tout sélectionner: /etc/e-smith/templates-custom/etc/rc.d/init.d/masq/90adjustDenyLog

et de tuner le code, puis lancer les deux commandes cités précédement.

A+,
Pascal

par **cege72** » 12 Déc 2004 23:41

yo !

J'ai installé un serveur tftp sur une sme et depuis j'ai les messages boottp qui m'harcelent aussi :

Code: Tout sélectionner: Dec 12 22:31:17 srvsme kernel: denylog:IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:0d:65:29:ce:44:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=604 TOS=0x00 PREC=0x00 TTL=255 ID=47934 PROTO=UDP SPT=68 DPT=67 LEN=584 Dec 12 22:31:17 srvsme kernel: denylog:IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:00:c5:17:bf:70:08:00 SRC=192.168.10.1 DST=255.255.255.255 LEN=576 TOS=0x00 PREC=0x00 TTL=255 ID=7119 PROTO=UDP SPT=67 DPT=68 LEN=556

J'ai donc rajouté ce qu'il faut dans /etc/e-smith/templates-custom/etc/rc.d/init.d/masq/90adjustDenyLog :

Code: Tout sélectionner: { my $logging = $masq{Logging} || "none"; if ( $logging eq "none" ) { $OUT .= " /sbin/iptables --replace denylog 1 --jump DROP"; } elsif ($logging eq "all") { $OUT .= <<'HERE'; /sbin/iptables --replace denylog 1 --jump LOG --log-prefix "denylog:" /sbin/iptables --replace denylog 2 --jump DROP HERE } else { $OUT .= <<'HERE'; /sbin/iptables --replace denylog 1 -p udp --dport 67:68 --jump DROP /sbin/iptables --replace denylog 1 -p udp --dport 520 --jump DROP /sbin/iptables --replace denylog 2 -p udp --dport 137:139 --jump DROP /sbin/iptables --replace denylog 3 -p tcp --dport 137:139 --jump DROP /sbin/iptables --replace denylog 4 --jump LOG --log-prefix "denylog:" HERE } }

fait le

Code: Tout sélectionner: service masq restart

mais j'ai toujours les messages...

ai-je des problèmes de vues ?

'ci

par **cege72** » 13 Déc 2004 01:11

wé c bon j'ai rien dit... c'était bien mes yeux :

Code: Tout sélectionner: /sbin/iptables --replace denylog 1 -p udp --dport 67:68 --jump DROP /sbin/iptables --replace denylog 1 -p udp --dport 520 --jump DROP

un peu trop de '1'

désolé pr le bruit... ca marche impec : 'ci sibsib pour l'expli !

++

par **sibsib** » 13 Déc 2004 22:43

Salut,

De rien ;-)

Mais je pense qu'il vaudrait mieux trouver moyen que ton demon tftp ne tourne pas sur l'interface externe !
Là, OK, le firewall te protège, mais si ton service ne tourne qu'en interne, c'est mieux, tout de même.

A+,
Pascal

Message "gonflant" mes log's

Message "gonflant" mes log's

Qui est en ligne ?