Re: zuviel Meldungen

To: debian-user-german@lists.debian.org
Subject: Re: zuviel Meldungen
From: Richard Mittendorfer <jkerdawn@yahoo.com>
Date: Sat, 12 Feb 2005 14:10:22 +0100
Message-id: <[🔎] 20050212141022.4ec3fd72.jkerdawn@yahoo.com>
In-reply-to: <[🔎] 200502121310.28136.colonius@free.fr>
References: <[🔎] 200502102135.52280.colonius@free.fr> <[🔎] 20050210205925.GA2680@riser.jnet.local> <[🔎] 200502121310.28136.colonius@free.fr>

Also sprach Klaus Becker <colonius@free.fr> (Sat, 12 Feb 2005 13:10:27
+0100):

> Le Jeudi 10 Février 2005 21:59, Joerg Rieger a écrit :
> > On Thu, Feb 10, 2005 at 09:35:52PM +0100, Klaus Becker wrote:
> > > DROPPED IN=eth0 OUT= MAC=00:08:54:08:05:8c:00:07:cb:10:67:64:08:00
> > > SRC=82.227.79.214 DST=82.227.12.167 LEN=48 TOS=0x00 PREC=0x00
> > > TTL=120 ID=8007 DF PROTO=TCP SPT=3561 DPT=135 SEQ=207506803 ACK=0
> > > WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)
> > >
> > > Welches Programm müllt mich da zu?
> >
> > http://channel.debian.de/faq/ch-config.html#s-klogdspam
> 
> Den dortigen Ratschlag hab' ich angewandt:
>  $ echo kernel/printk = 2 4 1 7 >> /etc/sysctl.conf
>  $ sysctl -p
>
> Auf der Konsole (CTRL-ALT-F1) habe ich jetzt Ruhe, aber dmesg bringt
> mir nur obige Meldingen, obwohl in /var/log/dmesg die normalen
> Bootmeldungen stehen.
>
> Woher nimmt mein dmesg diese Meldungen und wie kann ich sie abstellen?
> Ich habe guarddog installiert und für meine Bedürfnisse konfugiert,
> kommen sie vielleicht daher? An iptables habe ich direkt nichts
> gemacht, dazu reichen meine Kenntnisse nicht aus.

die meldungen kommen aus deiner iptables (= packetfilter, scheint via
guarddog aufgesetzt zu sein, kenn ich aber nicht) konfiguration. packete
die in einer iptables rule gedroppt werden, werden laut der konfig scheinbar
auch geloggt. hier hilft folgendes:

iptables -A woimmer -j LOG --log-level info
					 ^^^^^^^^^ hinzu
damit wird die priority der log-meldungen reduziert (auf info) und die
meldungen erscheinen auch mit den standard-printk einstellungen nicht
mehr auf der konsole.

wenn nun viele gedroppte packete deine log's fuellen (betrifft auch die
ausgebe von $ dmesg), empfehle ich mit

iptables -N log_drop
iptables -A log_drop -m limit --limit 3/m --limit-burst 2 -j LOG \
			--log-level info --log-prefix "VERWORFEN: "
iptables -A log_drop -j DROP

o.ae. eine eigene chain "log_drop" nur fuer's loggen einzufuehren und
dort die anzahl der geschriebenen log-meldungen mit der limit option zu
beschraenken. in diese "log_drop" chain schickst du nun alle packete die
du verwerfen willst und machst ein -j DROP am ende. 
willst du auch das eine oder andere ACCEPTed packet loggen haengst du
noch eine zweite rule "log_pass" an in die du am schluss ein -j ACCEPT
einfuehgst.

statt das packet direkt zu droppen/akzeptieren schickst du es in die
jeweilige chain:

iptables -A wasimmer -j log_drop (bzw. -j log_pass)

voraussetzung hierfuer ist, dass du das script mit deinen firewall-rules
findest, editierst und das firewall gui-prog keine probleme damit hat
oder besser: das prog das auch selber ermoeglicht.

falls das etwas zu konfus ist: docs/beispiele www.netfilter.org &
(html)docs in deinem /usr/share/doc/iptables & man iptables

> tschüs
> Klaus

sl ritch.

Reply to:

References:
- zuviel Meldungen
  - From: Klaus Becker <colonius@free.fr>
- Re: zuviel Meldungen
  - From: Joerg Rieger <Joerg.Rieger@informatik.med.uni-giessen.de>
- Re: zuviel Meldungen
  - From: Klaus Becker <colonius@free.fr>

Prev by Date: Re: kernelimage woody
Next by Date: Re: Frage zu Software-Raid oder: Wie Datensicherung organisieren.
Previous by thread: Re: zuviel Meldungen
Next by thread: Re: zuviel Meldungen
Index(es):
- Date
- Thread