Comment limiter les logs des ports 137, 139, 445, ...

[LinuxFroggy]

Bonjour,
Sur le forum j'ai trouvé un post indiquant queSur le forum j'ai trouvé un post indiquant que la version 1.4.7 possédait la version 1.4.7 possédait
Ayant utilisé avec satisfaction IPCop V1.4.6 depuis quelques mois, je suis passé à la 1.4.8 et j'ai essayé de modifier le fichier rc.firewall.local pour rejeter le log des paquets adréssés aux ports 135, 139, 445 en TCP ou UDP (commande IPTables comme suit : /sbin/iptables -A INPUT -p TCP --dport 135 -j DROP). Résultat moyen : toujours un grand nombre de logs... plus de 500 hits en 3 heures.

Quelqu'un peut il m'aider en suggérant la bonne syntaxe pour iptables ; je suis également preneur d'une petite description des différentes chaines d'iptables (il semble y en avoir un assez grands nombre et je dois dire que je suis un peu perdu).

Merci d'avance,

LinuxFroggy.

[poudre]

Bonjour,

Pas sur mais c'est peux être une erreur de syntaxe -p tcp et pas -p TCP

Pascal.

[Gesp]

Ne modifie pas la chaine INPUT, si tu fais une erreur, et que tu effaces par mégarde une partie des règles, je ne sais pas quelle protection tu auras.

Utilise plutôt CUSTOMINPUT pour laquelle tu peux faire ce que tu as besoin.

Rajoute dans ton rc.firwall.local

Code: Tout sélectionner

myrules() {
   if [ -s /var/ipcop/red/iface ]; then
      IFACE=`/bin/cat /var/ipcop/red/iface | /usr/bin/tr -d '\012'`
   else
      #just avoid a warning at the first boot
      IFACE=ppp0
   fi
   # Custom rules
   /sbin/iptables -F CUSTOMINPUT
   /sbin/iptables -F CUSTOMFORWARD

   /sbin/iptables -A CUSTOMINPUT -i $IFACE -p udp --dport 135:139 -j DROP
   /sbin/iptables -A CUSTOMINPUT -i $IFACE -p tcp --dport 135:139 -j DROP
   /sbin/iptables -A CUSTOMINPUT -i $IFACE -p udp --dport 445 -j DROP
   /sbin/iptables -A CUSTOMINPUT -i $IFACE -p tcp --dport 445 -j DROP
}

et appelle myrules dans start et reload comme cela

Code: Tout sélectionner

  start)
   if [ -e /var/ipcop/red/iface ]; then
      myrules
   fi
   ;;
  stop)
   ;;
  reload)
   ## add your 'reload' rules here
   myrules
   ;;

je n'utilises pas exactement cela, il est possible que j'ai fait une erreur.
Là plus moyen d'administrer ipcop de l'extérieur sans décaler le port https.

[micjack]

Moi, y'a un truc que je ne pige pas avec vos log IPCop... Pour se faire pourrir les log, c'est que l'on a forcement demandé une generation de log sur n'importe quoi ou ciblé , et via syslog ( ou par controle IDS)

Tout ca pour dire, qu'un fichier log se fair pourrir si l'on a demandé un truc du genre LOG_DROP , car il n' y pas de raison à se faire grossir des log pour rien...

Pige rien des fois comment fonctionne IPCop

[LinuxFroggy]

Bonjour,

Dans l'ordre :
poudre : je crois (vérificaion avec man) que iptables accepte le minuscule

Gesp : Merci pour les infos. J'ai entré les modifications dans rc.firewall.local ; cela fonctionne sans problème, les entrées des ports 135, 137 et 139 ansi que 445 ne sont plus loggés. Je suis en train de lire des docs sur iptables et je vais essayer de comprendre l'architecture des tables d'IPCop.

micjack : je ne suis pas certain de bien avoir compris quel était la réponse. OK, iptables entraine des logs, c'est dailleurs ce que l'on souhaite pour comprendre un peu qui/quoi se ballade à l'entrée du FW. Par contre, qu'est ce que c'est que LOG_DROP ? (si la réponse est dans le manuel d'iptables, désolé, je n'en suis pas encore là).

LinuxFroggy.

[micjack]

Gesp : Merci pour les infos. J'ai entré les modifications dans rc.firewall.local ; cela fonctionne sans problème

C'est le resultat qui compte et c'est vrais que le disque croustille sans arret avec ces ports pourrit..

[man_mickey2001]

c'est prévu ds la 1.4.8:

Pare Feu ->Options du Firewall

j'avais un petit pb pour afficher ce menu, voir post:
http://forums.fr.ixus.net/viewtopic.php?t=29565
bon courage