[résolu]iptables logs (woody klogd)

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

[résolu]iptables logs (woody klogd)

Messagepar KievZ » 28 Déc 2004 00:39

Bonsoir à tous,
CAIN désolé :oops: pour mes fautes...

Alors voilà, j'aurais aimer savoire comment lorsqu'on fait pour loggué dans un fichier spécifique:
/home/kievz/firewall
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix "[IPT] "
iptables -A LOG_DROP -j DROP
iptables -A INPUT -j LOG_DROP
---
comment faire dans le /etc/syslog.conf pourque les information (les packets droppers)
sois, au lieu d'être en vac sur le terminale dans un beau fichier /var/log/iptables.log

j'ai regarder un peut dans le syslog mais je ne sais pas comment faire pour que ça marche

/etc/syslog.conf
kern.warn /var/log/iptables.log
---
je suis sur une Debian Woody 2.4.18...

autre, comment faire pour qu'à la place de kern.warn il y est autre chose?
Dernière édition par KievZ le 28 Déc 2004 13:27, édité 2 fois au total.
Avatar de l’utilisateur
KievZ
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 15 Jan 2004 01:00

Messagepar Franck78 » 28 Déc 2004 00:47

Ne pas savoir écrire correctement même "bonsoir", c'est n'importe quoi.
:twisted: :twisted:
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar KievZ » 28 Déc 2004 01:54

oufff, en plus j'avais fait gaff...
Avatar de l’utilisateur
KievZ
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 15 Jan 2004 01:00

Messagepar micjack » 28 Déc 2004 01:58

Salut,

Du moment ou tu à le service syslog d'activé (natif au Kernel) et que tu a redirigé tes log iptables -j LOG DROP cela devrait etre inscrit...

Et avec --log-prefix, effectivement cela permetra de cibler et surtout de preserver ton disque, surtout contre les requettes sur les ports 135, 139, 445, si non ton disque ne va pas arreté de crepiter pour rien...

Fait le test en ligne de command tail -f /var/log/messages ... Puis Ctrl C pour arreté...
Dernière édition par micjack le 28 Déc 2004 03:00, édité 1 fois au total.
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar KievZ » 28 Déc 2004 02:52

Code: Tout sélectionner
d'activé et que tu a redirigé tes log iptables LOG DROP


Tu pourrais expliquer ça?

Il serait possible de voire un syslog.conf qui permet de loggué?
parce que je pense que c'est ma configue qui marche pas

kern.warn /var/log/iptables.log


j'ai une question aussi j'ai remarqué qu'il y avais 2 types de loggue ciblé:
ex:

*.* -/var/log/syslog
ou

*.* /var/log/syslog

la difference est le "-" voilà c'été une question...

Donc si quelqu'un pourrais me montré un syslog.conf qui affiche les loggues dans un fichier quelconque.

Voilà, merci
Avatar de l’utilisateur
KievZ
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 15 Jan 2004 01:00

Messagepar Franck78 » 28 Déc 2004 03:00

Pour les questions, on a inventé un truc génial. Qui répond a 99% des questions basiques. Ca s'appelle "man". T'as qu'à penser à "pote".
Bye

man syslog.conf a écrit:Regular File
Typically messages are logged to real files. The file has to be speci-
fied with full pathname, beginning with a slash ``/''.

You may prefix each entry with the minus ``-'' sign to omit syncing the
file after every logging. Note that you might lose information if the
system crashes right behind a write attempt. Nevertheless this might
give you back some performance, especially if you run programs that use
logging in a very verbose manner.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar KievZ » 28 Déc 2004 03:03

ok

mais pour les facility dans le syslog :S???

Franc78? t'été pas un mec qui géré security-challenge?
Avatar de l’utilisateur
KievZ
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 15 Jan 2004 01:00

Messagepar KievZ » 28 Déc 2004 03:06

j'ai rien, tout s'affiche sur mon terminale, en direct...
la je vois les requestes qui passe pas, en monitoring... et j'aimerais que se sois dans un fichier....
Avatar de l’utilisateur
KievZ
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 15 Jan 2004 01:00

Messagepar micjack » 28 Déc 2004 03:30

Ben justement, c'est ce qui s'affiche en dirrect dans ton fichier de log "messages"... Va dans /var/log et edite le en tapant vi messages

C'est pas un fichier de log ???
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar KievZ » 28 Déc 2004 03:35

y'a rien :) pas un fichier de log ni syslog ni messages
c'est en direct sur mon écran ....
Avatar de l’utilisateur
KievZ
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 15 Jan 2004 01:00

Messagepar micjack » 28 Déc 2004 04:02

Bon, ben effectivement, fait tes propres recherches car moi j'ai tres bien les log dans /var/log/messages et grace au service syslog...

Regarde plutot dans tes regles iptables pour Droper les LOG ou ajoute dans syslog.conf..
kern.* /dev/console
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar KievZ » 28 Déc 2004 13:26

Voilà,

il suffit:

klogd -c 3 (KERN_ERR)

changé sont syslog.conf puis le relancé...

klogd permet le monitoring et sous Woody il est activé pour affiché tout en console :)
la il affiche que les erreurs...

Merci micjack pour ton aide...
et a CAIN pour ne pas m'avoire envoyé de PV à propos de mon othographe déplorable...
Avatar de l’utilisateur
KievZ
Quartier Maître
Quartier Maître
 
Messages: 23
Inscrit le: 15 Jan 2004 01:00


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron