iptables-logging funktioniert nicht mehr

Wikinator · Beitrag von **Wikinator** » 13.05.2006 15:56:58

Hallo,

seit einiger Zeit funktioniert das Logging von iptables bei mir nicht mehr. Genauer funktionieren diese beiden Zeilen nicht:

Code: Alles auswählen

iptables -A INPUT -j LOG
iptables -A OUTPUT -j LOG

es wird zwar geblockt, aber nichts in /var/log/messages geschrieben. Ich weiß aber, dass es früher mal so geklappt hat.

Irgendwelche Ideen? (Ich benutze Debian/unstable)

herrchen · Beitrag von **herrchen** » 13.05.2006 16:00:23

Wikinator hat geschrieben: Irgendwelche Ideen?

eventuell kommen die regeln mit DROP vor dem logging.

herrchen

gms · Beitrag von **gms** » 13.05.2006 16:11:52

überprüfe einmal ob die ersten beiden Spalten bei dir auch 0 zurückgeben:

Code: Alles auswählen

root@gms1:~# iptables -nvL OUTPUT | grep LOG
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0         limit: avg 10/min burst 10 LOG flags 0 level 4 prefix `FW:forbidden:out:'

Gruß
gms

Wikinator · Beitrag von **Wikinator** » 13.05.2006 21:51:54

@gms: ich bekomme bei 'iptables -nvL OUTPUT | grep LOG' gar nichts zurück.

@herrchen: die DROP-Regeln kommen zuerst, aber eine Umstellung bringt auch nichts.

Generell sagt iptables:

Code: Alles auswählen

iptables: No chain/target/match by that name
iptables: No chain/target/match by that name

wenn die LOG-Regeln drin sind.

herrchen · Beitrag von **herrchen** » 13.05.2006 21:57:07

Wikinator hat geschrieben:
Code: Alles auswählen
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
wenn die LOG-Regeln drin sind.

dann wird das target "LOG" nicht gefunden.
das kann an iptables oder am kernel liegen.

da ich kein unstable verwende, blende ich mich jetzt aus.

herrchen

gms · Beitrag von **gms** » 13.05.2006 22:00:20

Wikinator hat geschrieben:@gms: ich bekomme bei 'iptables -nvL OUTPUT | grep LOG' gar nichts zurück.

Wikinator hat geschrieben:
Code: Alles auswählen
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
wenn die LOG-Regeln drin sind.

Deine LOG-Regeln wurden doch ganz offensichtlich gar nicht geladen.
Hast du deinen Kernel selbst erstellt, ist CONFIG_NETFILTER_NETLINK_LOG eingestellt worden ?

Wikinator · Beitrag von **Wikinator** » 13.05.2006 23:00:02

es ist als Modul drin.

gms · Beitrag von **gms** » 13.05.2006 23:32:40

Ist das Modul geladen ?

Code: Alles auswählen

root@gms1:~# cat /proc/net/netfilter/nf_log | grep -v NONE
 2 ipt_LOG
root@gms1:~# lsmod | grep LOG
ipt_LOG                 7168  9
x_tables               13828  6 xt_tcpudp,xt_state,ipt_LOG,xt_limit,iptable_nat,ip_tables

Welche Kernelversion lauft eigentlich ?

[edit]
Wäre auch noch interessant:

Code: Alles auswählen

root@gms1:~# cat /proc/net/ip_tables_targets
LOG
DNAT
SNAT
ERROR

[/edit]

Wikinator · Beitrag von **Wikinator** » 14.05.2006 00:00:23

ein 'lsmod | grep LOG' gibt mir ebenfalls nichts zurück. Ich benutze den Vanilla-Kernel 2.6.16.15.

'cat /proc/net/ip_tables_targets' sagt:

Code: Alles auswählen

TCPMSS
ULOG
REJECT
ERROR
NFQUEUE
MARK
MARK
CLASSIFY

gms · Beitrag von **gms** » 14.05.2006 00:11:39

gibts das Modul:

Code: Alles auswählen

root@gms1:~# find /lib/modules/`uname -r` -name "ipt_LOG.ko"
/lib/modules/2.6.16.11-vank-1/kernel/net/ipv4/netfilter/ipt_LOG.ko

Wikinator · Beitrag von **Wikinator** » 14.05.2006 10:46:58

existiert nicht. Wie kann ich es laden/erstellen?

gms · Beitrag von **gms** » 14.05.2006 15:40:34

müßtest den Kernel mit CONFIG_IP_NF_TARGET_LOG neu kompilieren

Wikinator · Beitrag von **Wikinator** » 15.05.2006 14:51:35

habe ich gemacht. Es kommt jetzt zwar keine Fehlermeldung beim anstellen von iptables mehr, allerdings findet er mit

Code: Alles auswählen

find /lib/modules/`uname -r` -name "ipt_LOG.ko"

immernoch nichts und es wird auch nicht geloogt.

gms · Beitrag von **gms** » 15.05.2006 19:36:21

also, bei mir funktioniert das Logging, sowohl mit Kernel 2.6.16.11, als auch mit 2.6.16.16 und von 2.6.16.15 (=deine Version) auf 2.6.16.16 hat sich im Kernel nichts bezüglich iptables/netfilter getan.
Wenn das ipt_LOG Modul also bei dir nicht erstellt wurde, kann es fast nur an deiner Config liegen.
Poste diese bitte einmal auf NoPaste

Gruß
gms

Wikinator · Beitrag von **Wikinator** » 15.05.2006 21:51:33

http://nopaste.debianforum.de/3134

Wikinator · Beitrag von **Wikinator** » 18.05.2006 21:08:09

jemand eine Idee?

Wikinator · Beitrag von **Wikinator** » 22.05.2006 19:19:51

wie loggt ihr denn?

chroiss · Beitrag von **chroiss** » 30.05.2006 23:35:01

so

Code: Alles auswählen

$IPTABLES -t filter -F INPUT
$IPTABLES -t filter -F OUTPUT
$IPTABLES -t filter -F FORWARD
$IPTABLES -X

$IPTABLES -N kuck
$IPTABLES -N garbage

$IPTABLES -I garbage -p TCP -j LOG --log-prefix="DROP TCP-Packet: " --log-level err
$IPTABLES -I garbage -p UDP -j LOG --log-prefix="DROP UDP-Packet: " --log-level err
$IPTABLES -I garbage -p ICMP -j LOG --log-prefix="DROP ICMP-Packet: " --log-level err

...
...
...

Code: Alles auswählen


# Alle Pakete welche nicht behandelt wurden landen im Müll
$IPTABLES -A INPUT -m state --state NEW,INVALID -j garbage
$IPTABLES -A INPUT -j garbage
$IPTABLES -A OUTPUT -j garbage
$IPTABLES -A FORWARD -j garbage

gruss chroiss

Aresius · Beitrag von **Aresius** » 31.05.2006 08:48:11

Wikinator hat geschrieben:habe ich gemacht. Es kommt jetzt zwar keine Fehlermeldung beim anstellen von iptables mehr, allerdings findet er mit
Code: Alles auswählen
find /lib/modules/`uname -r` -name "ipt_LOG.ko"
immernoch nichts und es wird auch nicht geloogt.

Dass er das Modul nicht findet ist ja auch nicht weiter verwunderlich, schließlich hast Du in Deiner config

Code: Alles auswählen

CONFIG_IP_NF_TARGET_LOG=y

.

Mach doch (nachdem er was geloggt haben sollte) nochmal

Code: Alles auswählen

iptables -nvL | grep LOG

iptables-logging funktioniert nicht mehr

iptables-logging funktioniert nicht mehr

Re: iptables-logging funktioniert nicht mehr