Pb dans les journeaux du firewall

par **fabzz007** » 01 Sep 2004 11:34

Salut à tous...

Qd je veux afficher mes log du journal pour firewall aucune entrée ne s'affiche... et voilà le message qui apparait sur la page web.

Firewall Logs Summary

Generated mer sep 01 11:31:02 CEST 2004 by root.
0 of 6365 entries in the file "/var/log/messages" are packet logs, 0 have unique characteristics.
No valid time entries found.
All entries were logged by the same host: "".
All entries are from the same chain: "".
All entries have the same target: "".
All entries are from the same interface: "".
Only entries with a count larger than 2 are shown.

# start interval proto source hostname port destination hostname port opts

fwlogwatch 0.6 © 2002-02-24 Boris Wesslowski, RUS-CERT

Qqun à une idée ??? :?:

Merci d'avance...
F@Bz

par **Methos_Hi** » 01 Sep 2004 12:03

Quelle version de MNF ?

par **Jacques-** » 01 Sep 2004 13:09

Fais déjà une connexion SSH (dans le menu Outils) pour voir si dans /var/log/messages il n'y a vraiment aucun message de shorewall pour vérifier.
Ensuite, l'affichage des logs est filtré (il faut plusieurs fois le même message (du moins les mêmes caractériqtiques) pour que celui-ci apparaisse dans l'interface.
Tu as peut-être un firewall que personne n'embête...

Jacques

par **fabzz007** » 01 Sep 2004 14:48

C'est une mnf 8.2 toute (mise à jour par l'interface web uniquement)

J'ai suivi les directives de Jacque et quand je suis allé dans /var/log/messages

ce fichier contient bien des messages dont une serie que se répete continuellement en voici un extrait :

Aug 29 21:15:00 FWMNF8.2 CROND[30200]: (root) CMD ( /usr/sbin/monitoring.pl)
Aug 29 21:16:00 FWMNF8.2 CROND[30210]: (root) CMD ( /usr/share/msec/promise_check.sh)
Aug 29 21:17:00 FWMNF8.2 CROND[30210]: (root) CMD ( /usr/share/msec/promise_check.sh)
Aug 29 21:18:00 FWMNF8.2 CROND[30210]: (root) CMD ( /usr/share/msec/promise_check.sh)
Aug 29 21:19:00 FWMNF8.2 CROND[30210]: (root) CMD ( /usr/share/msec/promise_check.sh)
Aug 29 21:20:00 FWMNF8.2 CROND[30210]: (root) CMD ( /usr/share/msec/promise_check.sh)
Aug 29 21:20:00 FWMNF8.2 CROND[30200]: (root) CMD ( /usr/sbin/monitoring.pl)
Aug 29 21:21:00 FWMNF8.2 CROND[30210]: (root) CMD ( /usr/share/msec/promise_check.sh)
Aug 29 21:22:00 FWMNF8.2 CROND[30210]: (root) CMD ( /usr/share/msec/promise_check.sh)
Aug 29 21:23:00 FWMNF8.2 CROND[30210]: (root) CMD ( /usr/share/msec/promise_check.sh)
Aug 29 21:24:00 FWMNF8.2 CROND[30210]: (root) CMD ( /usr/share/msec/promise_check.sh)
Aug 29 21:25:00 FWMNF8.2 CROND[30210]: (root) CMD ( /usr/share/msec/promise_check.sh)

donc toutes les minutes un nouveau message et toute les 5 minutes un autre....

J'espere que vous pourrez m'aider à résoudre ça

par **Methos_Hi** » 01 Sep 2004 15:06

Il n'y a pas de messages Shorewall ?

par **fabzz007** » 01 Sep 2004 18:54

qd j'ai posté ma réponse tout à l'heure je n'avait aucun message de shorwall mais maintenant oui... donc tout est rentrée dans l'ordre l'affichage se fait correctement.

Mais es ce qu'il est possible de n'avoir message de shorwall ? ou alors es ce que c'est plutot louche ???

en tout cas merci de votre aide toujours aussi précieuse..

@+ FAbz.

par **Methos_Hi** » 01 Sep 2004 19:14

ben si t'en a pas c'est que tu log rien mais les règles par défaut le font par défaut (aussi justement).

par **Jacques-** » 01 Sep 2004 21:13

Oui, plutôt surprenant tout de même de ne pas avoir au moins un scan de port.
Et des connexions sur le 137/138/139...

Tu peux essayer de faire un zcat message.?.gz | grep -i shorewall pour voir s'il y en a eu dans les anciens fichiers (logrotate fait une archive par semaine).
S'il n'y a vraiment rien, c'est soit que shorewall était mal configuré, soit aucune attaque, soit que cela a été effacé... et là c'est grave.
Tu peux poster ici tes tâches cron pour voir si tout est correct (le test du mode promiscuité est normal, il est fait par l'IDS que tu as activé (snort ou autre).
Regarde si tous les logs sont à une date différente dans /var/log (ls -l) ce doit être le cas pour les fichiers archivés (*.gz) et tu peux aussi essayer de regarder dans le fichier syslog.
Personnellement, j'ai actuellement 1973 lignes avec shorewall dedans depuis le 29/08/04 à 4h00 du matin.... ce qui est plus classique je crois.

Jacques

par **fabzz007** » 02 Sep 2004 10:00

Jacques- a écrit:Oui, plutôt surprenant tout de même de ne pas avoir au moins un scan de port.
Et des connexions sur le 137/138/139...

Tu peux essayer de faire un zcat message.?.gz | grep -i shorewall pour voir s'il y en a eu dans les anciens fichiers (logrotate fait une archive par semaine).

Je suis un peu newbie mais donc si je comprend bien je me mets dans /var/log et je tape ça zcat message.?.gz | grep -i shorewall
Que veux tu dire par fait une archive par semaine... manuellement je sauvegarde les fichiers c'est ça ?

Jacques- a écrit:S'il n'y a vraiment rien, c'est soit que shorewall était mal configuré, soit aucune attaque, soit que cela a été effacé... et là c'est grave.

Alors j'ai peut etre un PB dans mes regles d'exeptions ??? j'avais posté un message resté sans réponse ici viewtopic.php?t=20085 si vous remarquez quelque chose de bizarr on ne sait jamais)

Jacques- a écrit:Tu peux poster ici tes tâches cron pour voir si tout est correct (le test du mode promiscuité est normal, il est fait par l'IDS que tu as activé (snort ou autre).
Regarde si tous les logs sont à une date différente dans /var/log (ls -l) ce doit être le cas pour les fichiers archivés (*.gz) et tu peux aussi essayer de regarder dans le fichier syslog.
Personnellement, j'ai actuellement 1973 lignes avec shorewall dedans depuis le 29/08/04 à 4h00 du matin.... ce qui est plus classique je crois.

Je ferais tous ces tests demain ou en fin de soirée car là je ne suis pas sur le bon site...

En tout cas merci encore

Fabz.

Jacques[/quote]

par **fabzz007** » 06 Sep 2004 10:54

salut à tous...

En effet dans les autres fichiers (sauvegard logrotate) j'ai des ligne de shorwall... en fait je pense que je n'ai pas trop de messages et que du coup il ne les affiche pas car ils sont trop vieux... car dans la page web des log du firewall il était ecrit :"No valid time entry found"

Pour les sauvegarde c'est bon j'ai compris

pour la configuration de shorewall j'espere qu'il n'y a pas de soucis...
(viewtopic.php?t=20085)

Concernant les taches cron es ce que tu peux etre plus précis qu'es ce que je dois poster ? le contenu du fichier messages? ça risue de faire beaucoup...

Merci encore @+ Fabz.

par **Jacques-** » 06 Sep 2004 13:12

Pour les taches cron, tu peux les lire en faisant un
crontab -l
De plus, il y a normalement tout ce qui est placé dans les répertoires /etc/cron.*

Ta connexion est elle permanente ? si non c'est aussi normal de ne pas avoir trop de messages, de plus, logrotate archive les logs tous les dimanche, ce qui peut expliquer aussi suivant le moment où tu as lancé ta recherche sur les logs que tu n'ai rien vu.

Jacques

par **fabzz007** » 10 Sep 2004 11:56

Salut et merci de votre aide...

Je pense que le pb d'affichage des messages est résolu

car en fait il n'y avait pas de pb :oops:

comme disait jacque logrotate fait une sauvegarde par semaine et du coup lorsque je rentrai dans mes logs ("le lundi ou mardi") shorwall n'affichait rien ce qui était nrmale du coup... je l'espere en tout cas...

par contre depuis j'ai le message suivant :

sep 10 11:42:07 00:00:00:01 tcp 192.168.0.254 - 3988 192.175.48.1 prisoner.iana.org 53 SYN

qu'es ce que ça signiffie ? qqun à une idée ? le port 53 c'est pour les requete dns non ???

merci d'avance fabzz.

Pb dans les journeaux du firewall

Pb dans les journeaux du firewall

Qui est en ligne ?