Re: [Debian]:Iptables und das Loggen

To: debian-user-de@jfl.de
Subject: Re: [Debian]:Iptables und das Loggen
From: Karl-Heinz Haag <k@lux.in-berlin.de>
Date: Tue, 5 Sep 2000 01:08:10 +0200
Message-id: <[🔎] 20000905010810.A22023@lux.in-berlin.de>
In-reply-to: <[🔎] 20000904135115.A15961@fsing.uni-sb.de>; from stse@fsing.uni-sb.de on Mon, Sep 04, 2000 at 01:51:15PM +0200
References: <[🔎] 20000904135115.A15961@fsing.uni-sb.de>

Quoting Stephan Seitz (stse@fsing.uni-sb.de):
> Hi!
> 
> Kann mir jemand sagen, wohin iptables eigentlich die Log-Meldungen
> schickt?

ohne Aenderungen von Dir zunaechst nach /var/log/messages
 
> Meine Testregel ist
> iptables -A INPUT -s $DNS -d $IP_NET -i $IDEV -p udp --sport 53
> --dport 1024: -j LOG --log-prefix "dns_udp" --log-ip-options
> 
[...]
> 
> Eine etwas exaktere Erklärung zu --log-level fände ich auch nicht
> schlecht. Zahlenwert oder "man syslog.conf". Leider akzeptiert
> --log-level nichts anderes als Zahlen.

Das ist einfach falsch. 
Ein Blick in man iptables mit "/LOG" sagt hierzu eigentlich 
alles: 

1.) im Kernel muss "kernel logging" eingestellt sein; da gibt es 
    verschiedene verbose-levels
2.) --log-level "level" muss in der iptables-rule gesetzt werden; 
    das fehlt bei Dir. 
    		(du setzt nur den prefix)
3.) was "level" realiter sein kann, ist aus man syslog.conf zu 
    entnehmen. Dort findet man "priority keywords" fuers loggen 
    benannt.
    	"The priority is one of the following keywords, in  
	ascending  order:  
	debug,  info,  notice, warning, warn (same as warning), 
	err, error (same as err),  crit,  alert,  emerg, panic 
	(same as emerg).  The keywords error, warn and panic
	are deprecated and should not be used anymore.  The 
	priority defines the severity of the message."
     Nimm einfach 'info', das hat bei mir bisher fuer alle 
     Zwecke gereicht. 

Noch ein Tip zur grundsaetzlichen Arbeitslogik von iptables 
auf IP-Pakete: 
an erster Stelle wird immer PREROUTING durchlaufen (=DNAT), 
erst danach FORWARD bzw. POSTROUTING (=SNAT)
_*Anders*_ als vorher mit ipchains gehen diese Paket *nicht* 
durch INPUT und OUTPUT hindurch, sondern gewissermassen daran 
vorbei. Das heisst, dass Pakete, die im PREROUTING bearbeitet 
werden, fuer INPUT und OUTPUT 'unsichtbar' bleiben, also mit 
IN- und OUTPUT-Statements nicht geloggt werden koennen.
Ein Vorteil von iptables gegenueber ipchains ist diese 
Verfahrensweise, dass naemlich nicht mehr jedes Paket saemtliche 
Chains zu durchlaufen hat. 
INPUT und OUTPUT betreffen nurmehr solche Pakete, die fuer 
diesen host bestimmt sind oder lokal von ihm stammen.

Karl-Heinz
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------
Anzahl der eingetragenen Mitglieder:     759

Reply to:

References:
- [Debian]:Iptables und das Loggen
  - From: Stephan Seitz <stse@fsing.uni-sb.de>

Prev by Date: Re: [Debian]:belegte Ports
Next by Date: Re: [Debian]:QT ist jetzt GPL
Previous by thread: [Debian]:Iptables und das Loggen
Next by thread: [Debian]:Empfehlung DB
Index(es):
- Date
- Thread