[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

iptables und ULOG

Hallo Liste!

Auf meinem Linux-Server (Debian 3.0) habe ich mit iptables einen
Paketfilter eingerichtet. Erst wird alles verboten, anschl. werden
die benötigten Ports einzelner Netzwerkdienste gezielt freigegeben.

Nun möchte ich zusätzlich erreichen, dass alle Pakete, auf die keine
Regel zutrifft, in einer Datei geloggt werden. Dazu möchte ich gerne
den ULOG-Daemon nutzen.

Meine Vorgehensweise:
- Das Paket "ulogd" installiert

- Mein Firewall-Skript wie folgt modifiziert:
  IPT=/sbin/iptables
  NETZ=192.168.xx.0/24
  # alle Pakete, auf die keine Regel zutrifft, loggen
  $IPT -A OUTPUT -d $NETZ -j ULOG
  $IPT -A INPUT -s $NETZ -j ULOG
  $IPT -A FORWARD -j ULOG

- Das Paket "kernel-source-2.4.27" (von backports.org) installiert

- "Networking options" ---> "IP: Netfilter Configuration" --->
  "<M> ULOG target support (NEW)" ausgewählt

- Kernel kompilliert und installiert

- Rechner wird mit dem neuen Kernel gebootet

Nach dem Neustart:

     $ grep -i ulog /boot/config-2.4.27-thilo
     CONFIG_IP_NF_TARGET_ULOG=m

     $ grep -i ulog /proc/net/ip_tables_targets
     ULOG

     $ dpkg -l | grep -i ulog
     ii  ulogd          0.97-1         The Userspace Logging Daemon

     $ ps -A | grep -i ulog
      2482 tty2     00:00:00 ulogd

     $ lsmod | grep -i ulog
     ipt_ULOG          3680   3  (autoclean)
     ip_tables        12064   7  [ipt_MASQUERADE ipt_ULOG ipt_state \
                                          iptable_filter iptable_nat]


Sieht doch eigentlich ganz gut aus...

Anschl. habe ich versucht, von einem Windows-Client den Linux-Server
anzupingen. (Das ICMP-Protokoll habe ich _nicht_ erlaubt)

     Ping wird ausgeführt für 192.168.xx.yy mit 32 Bytes Daten:

     Zeitüberschreitung der Anforderung.
     Zeitüberschreitung der Anforderung.
     Zeitüberschreitung der Anforderung.
     Zeitüberschreitung der Anforderung.

     Ping-Statistik für 192.168.xx.yy:
     [ ... ]

So weit, so gut.

Diese Pakete sollten eigentlich in der Logdatei auftauchen. Leider ist
unter "/var/log/ulog/*" nichts zu finden: Die Datei "syslogemu.log"
hat eine Größe von 0 Bytes....

Hier meine Konfigurationsdatei:

     $ cat /etc/ulogd.conf | grep -v "^#" | grep -v "^$"
     nlgroup 1
     logfile /var/log/ulog/ulogd.log
     loglevel 5
     plugin /usr/lib/ulogd/ulogd_BASE.so
     syslogfile /var/log/ulog/syslogemu.log
     syslogsync 1
     plugin /usr/lib/ulogd/ulogd_LOGEMU.so
     dumpfile /var/log/ulog/pktlog.log
     rmem  128000
     bufsize 256000

Die letzten beiden Zeilen habe ich hier gefunden:
www.mail-archive.com/debian-user-german@lists.debian.org/msg92892.html
Aber auch ohne die beiden letzten Zeilen klappt es nicht...

Kann mir jemand helfen und sagen, warum das so nicht funktioniert?

Am Netzwerk kann's nicht liegen - alle anderen Dienste (Samba, CUPS,
etc.) funktionieren problemlos.


Vielen Dank für Eure Mühe!

Mit freundlichen Grüßen,

Thilo

--
Registered Linux user #348074 with the Linux counter
http://counter.li.org
Reply to: