Re: [Debian]:Iptables und das Loggen
Quoting Stephan Seitz (stse@fsing.uni-sb.de):
> Hi!
>
> Kann mir jemand sagen, wohin iptables eigentlich die Log-Meldungen
> schickt?
ohne Aenderungen von Dir zunaechst nach /var/log/messages
> Meine Testregel ist
> iptables -A INPUT -s $DNS -d $IP_NET -i $IDEV -p udp --sport 53
> --dport 1024: -j LOG --log-prefix "dns_udp" --log-ip-options
>
[...]
>
> Eine etwas exaktere Erklärung zu --log-level fände ich auch nicht
> schlecht. Zahlenwert oder "man syslog.conf". Leider akzeptiert
> --log-level nichts anderes als Zahlen.
Das ist einfach falsch.
Ein Blick in man iptables mit "/LOG" sagt hierzu eigentlich
alles:
1.) im Kernel muss "kernel logging" eingestellt sein; da gibt es
verschiedene verbose-levels
2.) --log-level "level" muss in der iptables-rule gesetzt werden;
das fehlt bei Dir.
(du setzt nur den prefix)
3.) was "level" realiter sein kann, ist aus man syslog.conf zu
entnehmen. Dort findet man "priority keywords" fuers loggen
benannt.
"The priority is one of the following keywords, in
ascending order:
debug, info, notice, warning, warn (same as warning),
err, error (same as err), crit, alert, emerg, panic
(same as emerg). The keywords error, warn and panic
are deprecated and should not be used anymore. The
priority defines the severity of the message."
Nimm einfach 'info', das hat bei mir bisher fuer alle
Zwecke gereicht.
Noch ein Tip zur grundsaetzlichen Arbeitslogik von iptables
auf IP-Pakete:
an erster Stelle wird immer PREROUTING durchlaufen (=DNAT),
erst danach FORWARD bzw. POSTROUTING (=SNAT)
_*Anders*_ als vorher mit ipchains gehen diese Paket *nicht*
durch INPUT und OUTPUT hindurch, sondern gewissermassen daran
vorbei. Das heisst, dass Pakete, die im PREROUTING bearbeitet
werden, fuer INPUT und OUTPUT 'unsichtbar' bleiben, also mit
IN- und OUTPUT-Statements nicht geloggt werden koennen.
Ein Vorteil von iptables gegenueber ipchains ist diese
Verfahrensweise, dass naemlich nicht mehr jedes Paket saemtliche
Chains zu durchlaufen hat.
INPUT und OUTPUT betreffen nurmehr solche Pakete, die fuer
diesen host bestimmt sind oder lokal von ihm stammen.
Karl-Heinz
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------
Anzahl der eingetragenen Mitglieder: 759
Reply to: