[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: No consigo ver los logs de iptables.

Tuve el mismo problema que tu hace unas semanas.  Te mando dos emails que llegaron a la lista y que a mi me sirvieron para solucionar el problema.  Espero que a ti tambien.

Saludos.
--- Begin Message --- Hola,

no sabia del demonio ulogd pero gracias a mvselich he conseguido logear las reglas de mi firewall, fue muy sencillo sólo instalé el paquete ulogd y añadi la regla de log a mi script de iptables.  Luego configuré ulogd.conf para que me lo enviase a fichero (en algún momento lo configuraré para que me lo envíe a una base de datos) y reinicié el servicio.

Y haciendo tail -f /var/log/ulog/syslogemu.log |colorize he conseguido ver el log.

Muchas gracias.


El lun, 22-08-2005 a las 20:05 -0300, mveselich@gmx.net escribió: 
Rocío Vázquez Furelos escribió:
> Hola a todos,
> 
> he configurado un firewall con iptables y le he añadido algunas reglas
> para que me muestre el log de ellas, un ejemplo de una es la siguiente:
> 
> iptables -A FORWARD -d 192.168.x.y -p tcp --dport 25 -j LOG --log-level
> debug --log-prefix "IPTables_SMTP: "
> 
> he recompilado el kernel y le he añadido las opciones para el soporte de
> iptables, incluidas las de log.
> 
> He añadido en el fichero /etc/syslog.conf una linea como la siguiente:
> 
> *.=debug        -/var/log/ipt.log
> 
> He reiniciado la máquina para que me cogiese la nueva configuración del
> kernel y he conseguido que en el directorio /var/log se crease un
> fichero ipt.log en el que se muestran los mensajes con nivel debug pero
> no se me muestra nada de los mensajes que he añadido a mi script de
> iptables, lo único que se muestra es:
> 
> Aug 22 10:53:29 firewall kernel: request_module: failed /sbin/modprobe
> -- char-major-6-0. error = 65280
> Aug 22 10:53:50 firewall kernel: request_module: failed /sbin/modprobe
> -- char-major-10-135. error = 65280
> Aug 22 10:54:54 firewall kernel: CPU:     After generic identify, caps:
> 0387fbff 00000000 00000000 00000000
> Aug 22 10:54:54 firewall kernel: CPU:     After vendor identify, caps:
> 0387fbff 00000000 00000000 00000000
> Aug 22 10:54:54 firewall kernel: CPU:     After all inits, caps:
> 0383fbff 00000000 00000000 00000040
> Aug 22 10:54:54 firewall kernel: pnp: the driver 'system' has been
> registered
> Aug 22 10:54:54 firewall kernel: pnp: match found with the PnP device
> '00:07' and the driver 'system'
> Aug 22 10:54:54 firewall kernel: pnp: match found with the PnP device
> '00:08' and the driver 'system'
> Aug 22 10:54:54 firewall kernel: pnp: the driver 'serial' has been
> registered
> Aug 22 10:54:54 firewall kernel: pnp: match found with the PnP device
> '00:0b' and the driver 'serial'
> Aug 22 10:54:54 firewall kernel: pnp: match found with the PnP device
> '00:0e' and the driver 'serial'
> Aug 22 10:54:54 firewall kernel: eth0:  Identified 8139 chip type
> 'RTL-8139C'
> Aug 22 10:54:54 firewall kernel: eth1:  Identified 8139 chip type
> 'RTL-8100B/8139D'
> Aug 22 10:54:54 firewall kernel: request_module: failed /sbin/modprobe
> -- char-major-10-135. error = 65280
> Aug 22 10:54:54 firewall last message repeated 2 times
> Aug 22 10:54:55 firewall kernel: request_module: failed /sbin/modprobe
> -- char-major-6-0. error = 65280
> 
> y mi problema es que no sé cómo cargar el módulo char-major-6-0. y cómo
> resolver el problema del char-major-10-135.  De este último buscando en
> google en una página( http://www.linuxfromscratch.org/faq/ ) me ponía
> que recompilase el kernel con la opción "Character devices" -> "Enhanced
> Real Time Clock Support".
> 
> Hice esto, pero sigo teniendo el mismo error.
> 
> Podríais ayudarme?  me gustaría poder tener un log de iptables.
> 
> Gracias
> 
> 
hola!
Esta no es una respuesta a tus problemas para configurar iptables para 
que guarde logs por el demonio de syslog, es simplemente para sugerirte 
que pruebes con ulogd para guardar los logs de iptables en archivos de 
texto (y ulgd-mysql o ulogd-pgsql que son los paquetes con soporte para 
bases de datos Mysql y Postgresql y ulogd-sqlite3 para testing y 
unstable). Segun la pagina de Debian sobre el paquete 
http://packages.debian.org/stable/net/ulogd
ulogd is a daemon that listens for Netlink packets generated by 
iptables's ULOG target. Basically, it's a replacement for syslog for 
logging packets, and does a much better job - it logs to files, mySQL, 
PostgreSQL and soon will be able to log remotely.
funciona muy bien y no nesecitas recompilar el kernel si usas uno 
original de debian, ademas si elegis el soporte para bases de datos 
(ulgd-mysql o ulogd-pgsql) hay un script en php 
http://www.inl.fr/Nulog.html muy facil de configurar que te va mostrando 
el contenido de la base de datos desde cualquier navegador web y te 
permite ordenar por hosts por puertos etc etc, un chiche :) pero tenes 
que tener un web server para eso :(
segun lo que logees la base de datos puede crecer MUY rapido: por 
ejemplo si pones que logee TODOS los paquetes que iptables manda a 
REJECT tendras unos cuantos megas por dia. Y ya que estoy en via 
sugerencias :) aqui van otras:
Para bloquear automagicamente ip que tinen muchos errores de paswors: 
ataques ssh y tambien para apache: Fail2Ban 
http://sourceforge.net/projects/fail2ban y que tiene paquetes para 
unstable http://packages.debian.org/unstable/net/fail2ban
y la ultima para no aburrir: knockd un paquete que abre puertos despues 
de una secuencia especifica, por ejemplo si quiero abrir el puerto 22, 
hago telnet, por ejemplo a los puertos 3456 1234 876 y en ese orden, el 
knockd escucha y como es una secuencia valida genera una regla iptables 
que abre el puerto 22 y despues telnet a 8734 235 989 y el knockd cierra 
el puerto 22 muy facil de configurar y agrega un poco mas de seguridad.
de la pagina de debian: A port-knock server that listens to all traffic 
on a given network interface (only Ethernet and PPP are currently 
supported), looking for a special "knock" sequences of port-hits. A 
remote system makes these port-hits by sending a TCP (or UDP) packet to 
a port on the server. When the server detects a specific sequence of 
port-hits, it runs a command defined in its configuration file. This can 
be used to open up holes in a firewall for quick access.
URL: http://www.zeroflux.org/knock/
suerte !!
Rocío Vázquez Furelos
Grupo Jaerod S.L. - Dpto. Tecnologías de la Información
e-mail: rvazquez@jaerod.com 
Tlf: 981 160 319
Fax: 981 278 637

--- End Message ---
--- Begin Message --- 
Rocío Vázquez Furelos escribió:

Hola a todos,

he configurado un firewall con iptables y le he añadido algunas reglas
para que me muestre el log de ellas, un ejemplo de una es la siguiente:

iptables -A FORWARD -d 192.168.x.y -p tcp --dport 25 -j LOG --log-level
debug --log-prefix "IPTables_SMTP: "

he recompilado el kernel y le he añadido las opciones para el soporte de
iptables, incluidas las de log.

He añadido en el fichero /etc/syslog.conf una linea como la siguiente:

*.=debug        -/var/log/ipt.log

He reiniciado la máquina para que me cogiese la nueva configuración del
kernel y he conseguido que en el directorio /var/log se crease un
fichero ipt.log en el que se muestran los mensajes con nivel debug pero
no se me muestra nada de los mensajes que he añadido a mi script de
iptables, lo único que se muestra es:

Aug 22 10:53:29 firewall kernel: request_module: failed /sbin/modprobe
-- char-major-6-0. error = 65280
Aug 22 10:53:50 firewall kernel: request_module: failed /sbin/modprobe
-- char-major-10-135. error = 65280
Aug 22 10:54:54 firewall kernel: CPU:     After generic identify, caps:
0387fbff 00000000 00000000 00000000
Aug 22 10:54:54 firewall kernel: CPU:     After vendor identify, caps:
0387fbff 00000000 00000000 00000000
Aug 22 10:54:54 firewall kernel: CPU:     After all inits, caps:
0383fbff 00000000 00000000 00000040
Aug 22 10:54:54 firewall kernel: pnp: the driver 'system' has been
registered
Aug 22 10:54:54 firewall kernel: pnp: match found with the PnP device
'00:07' and the driver 'system'
Aug 22 10:54:54 firewall kernel: pnp: match found with the PnP device
'00:08' and the driver 'system'
Aug 22 10:54:54 firewall kernel: pnp: the driver 'serial' has been
registered
Aug 22 10:54:54 firewall kernel: pnp: match found with the PnP device
'00:0b' and the driver 'serial'
Aug 22 10:54:54 firewall kernel: pnp: match found with the PnP device
'00:0e' and the driver 'serial'
Aug 22 10:54:54 firewall kernel: eth0:  Identified 8139 chip type
'RTL-8139C'
Aug 22 10:54:54 firewall kernel: eth1:  Identified 8139 chip type
'RTL-8100B/8139D'
Aug 22 10:54:54 firewall kernel: request_module: failed /sbin/modprobe
-- char-major-10-135. error = 65280
Aug 22 10:54:54 firewall last message repeated 2 times
Aug 22 10:54:55 firewall kernel: request_module: failed /sbin/modprobe
-- char-major-6-0. error = 65280

y mi problema es que no sé cómo cargar el módulo char-major-6-0. y cómo
resolver el problema del char-major-10-135.  De este último buscando en
google en una página( http://www.linuxfromscratch.org/faq/ ) me ponía
que recompilase el kernel con la opción "Character devices" -> "Enhanced
Real Time Clock Support".

Hice esto, pero sigo teniendo el mismo error.

Podríais ayudarme?  me gustaría poder tener un log de iptables.

Gracias



hola!
Esta no es una respuesta a tus problemas para configurar iptables para que guarde logs por el demonio de syslog, es simplemente para sugerirte que pruebes con ulogd para guardar los logs de iptables en archivos de texto (y ulgd-mysql o ulogd-pgsql que son los paquetes con soporte para bases de datos Mysql y Postgresql y ulogd-sqlite3 para testing y unstable). Segun la pagina de Debian sobre el paquete http://packages.debian.org/stable/net/ulogd ulogd is a daemon that listens for Netlink packets generated by iptables's ULOG target. Basically, it's a replacement for syslog for logging packets, and does a much better job - it logs to files, mySQL, PostgreSQL and soon will be able to log remotely. funciona muy bien y no nesecitas recompilar el kernel si usas uno original de debian, ademas si elegis el soporte para bases de datos (ulgd-mysql o ulogd-pgsql) hay un script en php http://www.inl.fr/Nulog.html muy facil de configurar que te va mostrando el contenido de la base de datos desde cualquier navegador web y te permite ordenar por hosts por puertos etc etc, un chiche :) pero tenes que tener un web server para eso :( segun lo que logees la base de datos puede crecer MUY rapido: por ejemplo si pones que logee TODOS los paquetes que iptables manda a REJECT tendras unos cuantos megas por dia. Y ya que estoy en via sugerencias :) aqui van otras: Para bloquear automagicamente ip que tinen muchos errores de paswors: ataques ssh y tambien para apache: Fail2Ban http://sourceforge.net/projects/fail2ban y que tiene paquetes para unstable http://packages.debian.org/unstable/net/fail2ban y la ultima para no aburrir: knockd un paquete que abre puertos despues de una secuencia especifica, por ejemplo si quiero abrir el puerto 22, hago telnet, por ejemplo a los puertos 3456 1234 876 y en ese orden, el knockd escucha y como es una secuencia valida genera una regla iptables que abre el puerto 22 y despues telnet a 8734 235 989 y el knockd cierra el puerto 22 muy facil de configurar y agrega un poco mas de seguridad. de la pagina de debian: A port-knock server that listens to all traffic on a given network interface (only Ethernet and PPP are currently supported), looking for a special "knock" sequences of port-hits. A remote system makes these port-hits by sending a TCP (or UDP) packet to a port on the server. When the server detects a specific sequence of port-hits, it runs a command defined in its configuration file. This can be used to open up holes in a firewall for quick access. 
URL: http://www.zeroflux.org/knock/
suerte !!


--
To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

--- End Message ---
Reply to: