Re: iptables

To: Debian users ES <debian-user-spanish@lists.debian.org>
Subject: Re: iptables
From: Iñigo Tejedor Arrondo <txiuaua@telefonica.net>
Date: Thu, 21 Jun 2007 20:01:01 +0200
Message-id: <[🔎] 1182448861.5816.26.camel@localhost>
In-reply-to: <[🔎] 1182448433.5816.17.camel@localhost>
References: <[🔎] 554a70910706210826v7cabe111r7540b7bbea7f4833@mail.gmail.com> <[🔎] 1182448433.5816.17.camel@localhost>

Mierda, se me fue el atajo de teclado y el enter :P, sigo el mensaje:


El jue, 21-06-2007 a las 19:53 +0200, Iñigo Tejedor Arrondo escribió:
> El jue, 21-06-2007 a las 10:26 -0500, edna alejandra gonzalez diaz
> escribió:
> > Hola a todos, soy nueva por aqui y tengo una duda que me gustaria que
> > me resolvieran.
> > Tengo un cortafuegos en mi debian y quisiera saber que direcciones ip
> > externas (La Internet), han pasado por el cortafuegos, que puertos han
> > intentando acceder y todo el trafico que pasa por el cortafuegos
> > no se si tenga que agregar algo en mi script de cortafuegos
> > "implementado de
> > http://www.guimi.net/index.php?pag_id=tec-docs/firewall/fw-instalacion.html#ipt"; o simplemente ya existen estos logs, como puedo analizarlos facilmente, existe alguna herramienta para llevar a cabo esta operacion.
> 
> Epa, es mejor que intentes entender lo que estás usando, ya que esa es
> la principal ventaja del software libre.
> 
> Usarlo a ciegas, casí es como usar software propietario, pero sin
> piratear.
> 
> En el script de guimi, se hacen log de varias cosas, busca donde pone
> log, y trata de entender lo que hace.
> 
> Para que loguee TODO el tráfico, necesitas descomentar las lineas:
> ###echo "    ACTIVADO DEBUG..."
> ##########################################
> ### Reglas utilizadas en debug para detectar
> #+ paquetes no tratados todavia
> #+ -j LOG --log-prefix "--PR> "
> ###$IPTABLES -t nat -A PREROUTING  -j LOG --log-prefix "[FW - PR] "
> ###$IPTABLES -t nat -A POSTROUTING -j LOG --log-prefix "[FW - PO] "
> ###$IPTABLES -A FORWARD -j LOG --log-prefix "[FW - FW] "
> ###$IPTABLES -A INPUT  -j LOG --log-prefix "[FW - IN] "
> ###$IPTABLES -A OUTPUT -j LOG --log-prefix "[FW - OU] "
> 
> Con la configuración de debian por defecto, te o va a meter en tres
> ficheros de log:
> 
> /var/log/messages
> /var/log/syslog
/var/log/debug

Mi recomendación es separar los logs, a un solo fichero separado y
utilizar el parámetro limit:

---
   limit
       This module matches at a limited rate using a token bucket
filter.   A rule  using  this  extension  will  match  until  this limit
is reached (unless the ‘!’ flag is used).  It can be used in combination
with  the LOG target to give limited logging, for example.

       --limit rate
              Maximum  average  matching  rate: specified as a number,
with an optional ‘/second’, ‘/minute’, ‘/hour’, or  ‘/day’  suffix;  the
default is 3/hour.

       --limit-burst number
              Maximum  initial  number  of  packets to match: this
number gets recharged by one every time the limit  specified  above  is
not reached, up to this number; the default is 5.
----

Esto es para que no casquen los discos duros ante un ataque DoS
prolongado. (ya me repito)

Para analizarlos tienes varias herramientas.
(apt-cache search firewall log)

Suerte

> 
> 
> 
> >  
> > de antemano muchas gracias
> > -- 
> > edna alejandra gonzalez diaz

Reply to:

References:
- iptables
  - From: "edna alejandra gonzalez diaz" <alejandra.gonzalez.diaz@gmail.com>
- Re: iptables
  - From: Iñigo Tejedor Arrondo <txiuaua@telefonica.net>

Prev by Date: Subversion, dudas...
Next by Date: Re: analizar logs de squid
Previous by thread: Re: iptables
Next by thread: Ayuda! camaras vigilancia en linux
Index(es):
- Date
- Thread