Re: LOG en iptables

["mveselich@gmx.net" <mveselich@gmx.net>]

Rocío Vázquez Furelos escribió:
> Hola a todos,
>
> he configurado un firewall con iptables y le he añadido algunas reglas
> para que me muestre el log de ellas, un ejemplo de una es la siguiente:
>
> iptables -A FORWARD -d 192.168.x.y -p tcp --dport 25 -j LOG --log-level
> debug --log-prefix "IPTables_SMTP: "
>
> he recompilado el kernel y le he añadido las opciones para el soporte de
> iptables, incluidas las de log.
>
> He añadido en el fichero /etc/syslog.conf una linea como la siguiente:
>
> *.=debug        -/var/log/ipt.log
>
> He reiniciado la máquina para que me cogiese la nueva configuración del
> kernel y he conseguido que en el directorio /var/log se crease un
> fichero ipt.log en el que se muestran los mensajes con nivel debug pero
> no se me muestra nada de los mensajes que he añadido a mi script de
> iptables, lo único que se muestra es:
>
> Aug 22 10:53:29 firewall kernel: request_module: failed /sbin/modprobe
> -- char-major-6-0. error = 65280
> Aug 22 10:53:50 firewall kernel: request_module: failed /sbin/modprobe
> -- char-major-10-135. error = 65280
> Aug 22 10:54:54 firewall kernel: CPU:     After generic identify, caps:
> 0387fbff 00000000 00000000 00000000
> Aug 22 10:54:54 firewall kernel: CPU:     After vendor identify, caps:
> 0387fbff 00000000 00000000 00000000
> Aug 22 10:54:54 firewall kernel: CPU:     After all inits, caps:
> 0383fbff 00000000 00000000 00000040
> Aug 22 10:54:54 firewall kernel: pnp: the driver 'system' has been
> registered
> Aug 22 10:54:54 firewall kernel: pnp: match found with the PnP device
> '00:07' and the driver 'system'
> Aug 22 10:54:54 firewall kernel: pnp: match found with the PnP device
> '00:08' and the driver 'system'
> Aug 22 10:54:54 firewall kernel: pnp: the driver 'serial' has been
> registered
> Aug 22 10:54:54 firewall kernel: pnp: match found with the PnP device
> '00:0b' and the driver 'serial'
> Aug 22 10:54:54 firewall kernel: pnp: match found with the PnP device
> '00:0e' and the driver 'serial'
> Aug 22 10:54:54 firewall kernel: eth0:  Identified 8139 chip type
> 'RTL-8139C'
> Aug 22 10:54:54 firewall kernel: eth1:  Identified 8139 chip type
> 'RTL-8100B/8139D'
> Aug 22 10:54:54 firewall kernel: request_module: failed /sbin/modprobe
> -- char-major-10-135. error = 65280
> Aug 22 10:54:54 firewall last message repeated 2 times
> Aug 22 10:54:55 firewall kernel: request_module: failed /sbin/modprobe
> -- char-major-6-0. error = 65280
>
> y mi problema es que no sé cómo cargar el módulo char-major-6-0. y cómo
> resolver el problema del char-major-10-135.  De este último buscando en
> google en una página( http://www.linuxfromscratch.org/faq/ ) me ponía
> que recompilase el kernel con la opción "Character devices" -> "Enhanced
> Real Time Clock Support".
>
> Hice esto, pero sigo teniendo el mismo error.
>
> Podríais ayudarme?  me gustaría poder tener un log de iptables.
>
> Gracias
hola!
Esta no es una respuesta a tus problemas para configurar iptables para 
que guarde logs por el demonio de syslog, es simplemente para sugerirte 
que pruebes con ulogd para guardar los logs de iptables en archivos de 
texto (y ulgd-mysql o ulogd-pgsql que son los paquetes con soporte para 
bases de datos Mysql y Postgresql y ulogd-sqlite3 para testing y 
unstable). Segun la pagina de Debian sobre el paquete 
http://packages.debian.org/stable/net/ulogd
ulogd is a daemon that listens for Netlink packets generated by 
iptables's ULOG target. Basically, it's a replacement for syslog for 
logging packets, and does a much better job - it logs to files, mySQL, 
PostgreSQL and soon will be able to log remotely.
funciona muy bien y no nesecitas recompilar el kernel si usas uno 
original de debian, ademas si elegis el soporte para bases de datos 
(ulgd-mysql o ulogd-pgsql) hay un script en php 
http://www.inl.fr/Nulog.html muy facil de configurar que te va mostrando 
el contenido de la base de datos desde cualquier navegador web y te 
permite ordenar por hosts por puertos etc etc, un chiche :) pero tenes 
que tener un web server para eso :(
segun lo que logees la base de datos puede crecer MUY rapido: por 
ejemplo si pones que logee TODOS los paquetes que iptables manda a 
REJECT tendras unos cuantos megas por dia. Y ya que estoy en via 
sugerencias :) aqui van otras:
Para bloquear automagicamente ip que tinen muchos errores de paswors: 
ataques ssh y tambien para apache: Fail2Ban 
http://sourceforge.net/projects/fail2ban y que tiene paquetes para 
unstable http://packages.debian.org/unstable/net/fail2ban
y la ultima para no aburrir: knockd un paquete que abre puertos despues 
de una secuencia especifica, por ejemplo si quiero abrir el puerto 22, 
hago telnet, por ejemplo a los puertos 3456 1234 876 y en ese orden, el 
knockd escucha y como es una secuencia valida genera una regla iptables 
que abre el puerto 22 y despues telnet a 8734 235 989 y el knockd cierra 
el puerto 22 muy facil de configurar y agrega un poco mas de seguridad.
de la pagina de debian: A port-knock server that listens to all traffic 
on a given network interface (only Ethernet and PPP are currently 
supported), looking for a special "knock" sequences of port-hits. A 
remote system makes these port-hits by sending a TCP (or UDP) packet to 
a port on the server. When the server detects a specific sequence of 
port-hits, it runs a command defined in its configuration file. This can 
be used to open up holes in a firewall for quick access.
URL: http://www.zeroflux.org/knock/
suerte !!