Re: Probleme mit iptables + syslog + klogd
Am Don, 2002-10-31 um 08.32 schrieb Rainer Ellinger:
> Matthias Hentges schrieb:
> > "$iptables_exe" -A in_adsl -j LOG --log-prefix "*IN ADSL* "
> > Aber im Syslog kommt dummerweise *nichts* an. Um alle Fehler
> > auszuschliessen, habe ich dann logischerweise einfach mal syslogd neu
>
> Gib dem LOG-Eintrag ein vernünftiges Limit mit den zusätzlichen
> Optionen (vor -j LOG): -m --limit 1/sec --limit-burst 5
Normalerweise sieht die LOG-Zeile so aus:
$iptables_exe" -A in_adsl -j LOG -m limit --limit 25/m --log-prefix "*IN
ADSL* "
Nur dem Zeilenumbruch zuliebe hatte ich das Limit rausgelassen.
> Den Burst würde bei mehr als einer externen IP auf einen Wert 2 * Zahl
> der IPs setzen, damit man auch Netzscans sauber in den Logs hat. Das
> Limit hängt von Bandbreite und Art des Loggings ab. 1/sec sollte für
> ADSL und Input DROP reichen. Mehr als 5/sec wird kaum nötig sein. So
> entstehen obige Werte.
Danke für den Tip. Ich werde mir burst mal genauer ansehen.
>
> > 5382 323K LOG all -- any any anywhere \
>
> Arrgg, Statistik für Einsteiger: in welchem Zeitraum? Das Ratio
> erscheint mir normal, d.h. es werden die üblichen Verdächtigen erfasst.
Das sollte ja auch nur verdeutlichen, dass iptables brav am loggen ist.
Der Zeitraum war ca 30min bei einem laufenden Portscan von extern.
Von den Treffern der LOG Regel erschien keine einzige Meldung im Syslog.
--
Matthias Hentges
[www.hentges.net] -> PGP + HTML are welcome
ICQ: 97 26 97 4 -> No files, no URLs
My OS: Debian Woody: Geek by Nature, Linux by Choice
Reply to: