Gesamten Netzwerkverkehr loggen mit iptables

[apulix]

Hallo, ich habe versucht eine Möglichkeit zu finden, den gesamten Netzwerkverkehr mit iptables zu loggen. Ist an sich nicht schwer, aber ich würde gerne in eine separate Datei loggen. Am liebsten hätte ich eine /var/log/input.log und eine /var/log/output.log Datei, aber leider sieht es für mich so aus, als seien iptables und syslog dafür zu unflexibel. Kann mir jmd. etwas empfehlen, wie ich das mit herkömmlichen Debian-Tools bewerkstelligen könnte?

Ich habe gelesen, dass es unter syslog theoretisch die priorities local0-local7 gibt, die extra dafür ausgelegt sind, aber die werden bei mir nicht angenommen: iptables v1.3.3: log-level `local0' unknown

Kernel 2.6.17.8, iptables 1.3.3 (Debian testing)

[nepos]

Das geht mit iptables und syslog normal nicht. Du kannst in iptables nur die Prioritaet der Logmeldungen beeinflussen, nicht aber, ueber welche Facility sie laufen. Bei iptables ist das immer kern, da es sich um Kernelmeldungen handelt.
Wenn du statt syslog den syslog-ng nimmst, kannst du dir mit iptables allerdings ein Logging-Prefix einstellen und dann mit syslog-ng auf dieses Prefix filtern.

[meandtheshell]

Hallo, ich habe versucht eine Möglichkeit zu finden, den gesamten Netzwerkverkehr mit iptables zu loggen. Ist an sich nicht schwer, aber ich würde gerne in eine separate Datei loggen.

Kannst Du das erläutern? Den ich sage das ist das falsche Tool für das was Du willst.

Iptables hat seinen scope immer nur auf einer Maschine - für Netzweite (und/oder das screening und monitoring von Netzsegmenten) Aufgaben ist ein Intrusion Detection System wie snort gedacht.

markus

[apulix]

Hallo, ich habe versucht eine Möglichkeit zu finden, den gesamten Netzwerkverkehr mit iptables zu loggen. Ist an sich nicht schwer, aber ich würde gerne in eine separate Datei loggen.

Kannst Du das erläutern? Den ich sage das ist das falsche Tool für das was Du willst.

Ich würde es einfach so machen:

Code: Alles auswählen

iptables -A INPUT -j LOG --log-level warning --log-prefix 'iptables-input' --log-tcp-sequence --log-tcp-options --log-ip-options --log-uid

Und das Gleiche nochmal für OUTPUT, wobei hier warning weniger angebracht ist, dann wohl eher debug.

Ein Intrusion Detection System ist IMHO hier übertrieben, denn es geht nur um meinen PC und nur darum einfach alles zu loggen was bei mir an Paketen eingeht und rausgeht.

[apulix]

Wenn du statt syslog den syslog-ng nimmst, kannst du dir mit iptables allerdings ein Logging-Prefix einstellen und dann mit syslog-ng auf dieses Prefix filtern.

Ich habe leider keine Erfahrung mit syslog-ng, ist das ausreichend kompatibel, so dass ich das normale syslog ohne Bedenken dadurch ersetzen kann?

[meandtheshell]

@apulix
Gut also ein Mißverständnis. Du hast also nur "nur" einen Rechner über den Traffic von und in ein LAN geht und nicht ein ganzes Netzwerk bzw. Netzwerksegment mit mehreren Ein und Ausgängen zu überwachen - richtig?

Wenn Du nur den Traffic loggen willst der über eine Maschine geht (und nur über diese eine - kein zweiter Weg in das oder aus dem LAN) dann ist Iptables dafür geeignet. Intrusion Detection nimmt man dafür nicht unbedingt.

Ja" syslog-ng" kann alles was das Duo klogd und syslod können und noch mehr. Ein Einsatz von syslog-ng ist ratsam da leichter in der Handhabung.

markus