Wo befindet sich iptables und die Basis-Settings-Datei

Welches Modul/Treiber für welche Hardware, Kernel compilieren...
Antworten
Security
Beiträge: 16
Registriert: 28.09.2011 06:24:27

Wo befindet sich iptables und die Basis-Settings-Datei

Beitrag von Security » 14.04.2012 16:05:33

Hallo,

in neuen Versionen, wird das LOG von iptables in '/var/log/kern.log/' gespeichert und nicht mehr in '/var/log/kern.log/'. Ich möchte das aber so nicht haben. Am liebsten wieder wie vorher. Aber ich finde keine Informationen dazu wie, iptables installiert ist. Offenbar gehört das zum Kernel. Aber hat auch iptables eine Konfigurationsdatei wo grundlegende Einstellungen befolgt werden?

Danke für eure Hilfe im voraus.

Benutzeravatar
Six
Beiträge: 8069
Registriert: 21.12.2001 13:39:28
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Siegburg

Re: Wo befindet sich iptables und die Basis-Settings-Datei

Beitrag von Six » 14.04.2012 17:59:18

iptables benutzt den Systemlogger, also rsyslog. Den kannst du in /etc/rsyslog.conf so konfigurieren, wie du es willst. Howtos findet man im Netz reichlich.
Be seeing you!

Security
Beiträge: 16
Registriert: 28.09.2011 06:24:27

Re: Wo befindet sich iptables und die Basis-Settings-Datei

Beitrag von Security » 14.04.2012 18:31:42

Six hat geschrieben:iptables benutzt den Systemlogger, also rsyslog. Den kannst du in /etc/rsyslog.conf so konfigurieren, wie du es willst. Howtos findet man im Netz reichlich.
Ich komme bei rsyslog immer auf syslog bei Ubuntu. Ist dass das selbe? Ich habe bis jetzt nur so viel herausbekommen, dass man z.B. hinter kern. das LOG Level angeben kann. Aber ich möchte es eher so haben:
kern.iptables

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Wo befindet sich iptables und die Basis-Settings-Datei

Beitrag von rendegast » 14.04.2012 19:07:27

ZBsp. als /etc/rsyslog.d/20_FIREWALL.conf :

Code: Alles auswählen

:msg,regex,"IN=.*OUT=.*SRC=.*DST="	-/var/log/FIREWALL.log
& ~
('& ~' beendet für die gerade behandelten Meldungen die weitere Bearbeitung durch rsyslog)

Für die Rotation in etwa sowas, /etc/logrotate.d/zz_OTHER.log :

Code: Alles auswählen

/var/log/DNSMASQ.log
/var/log/DOVECOT.log
/var/log/FIREWALL.log
/var/log/POSTFIX.log
/var/log/SAMBA-daemon-syslog
/var/log/SMARTD-daemon-syslog
{
	size 100k
	rotate 4
	weekly
	missingok
	notifempty
	compress
	delaycompress
	sharedscripts
	postrotate
		invoke-rc.d rsyslog reload > /dev/null
		/etc/init.d/samba reload > /dev/null
		invoke-rc.d smartmontools reload > /dev/null
	endscript
}
(In diesem Beispiel muß speziell durch den Bezug der Dienstaktionen auf Namensgebung/Position der Regel geachtet werden,
um nicht in Konflikt mit anderen logrotate-Aktionen zu kommen.

Werkzeuge dabei wären zBsp. 'lsof', Beobachtung von Meldungen resp. fehlende Meldungen nach einem logrotate,
Vergleich mit den anderen logrotate-Regeln usw. )





-------------------------------------------
Security hat geschrieben: Ich komme bei rsyslog immer auf syslog bei Ubuntu. Ist dass das selbe?
http://packages.debian.org/rsyslog
http://packages.ubuntu.com/rsyslog
Der rsyslog hat mit squeeze(?) den klassischen syslog/bootlog/kernlog als default abgelöst.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Security
Beiträge: 16
Registriert: 28.09.2011 06:24:27

Re: Wo befindet sich iptables und die Basis-Settings-Datei

Beitrag von Security » 14.04.2012 20:01:16

Ich gehe mal davon aus, dass "IN=.*OUT=.*SRC=.*DST=.*" nicht falsch ist.
Eine Rotationsänderung habe ich ausgelassen. Komprimierungen für diese neue Datei kann ich ja noch später hinzufügen. Werde jetzt einfach mal beobachten, ob ich nach 24H für die Zeit ab jetzt, noch LOGs von iptables in kern.log finde. Ansonsten Danke schon mal!

Security
Beiträge: 16
Registriert: 28.09.2011 06:24:27

Re: Wo befindet sich iptables und die Basis-Settings-Datei

Beitrag von Security » 15.04.2012 17:24:52

Was bedeutet der Bindestrich direkt vor dem Path?
Die Einträge werden in die andere Datei kopiert aber werden auch in der kern.log gespeichert. Ich will das sie verschoben werden.

Wie genau funktioniert :msg,regex? Muss der regex auf die ganze Zeile übereinstimmen oder nur Teilweise aber nichts darf im regex enthalten sein, was es nicht in der Zeile gibt?

Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: Wo befindet sich iptables und die Basis-Settings-Datei

Beitrag von Cae » 16.04.2012 00:03:42

Genau so eine Filterregel habe ich auch gebraucht, danke rendegast.
Allerdings habe ich als RegEx einfach "myfw-" genommen (warum geht das überhaupt ohne .*?), welches ich in den Firewall-Skripten mitgebe:

Code: Alles auswählen

iptables -A INPUT -j LOG --log-prefix="myfw-IN-"
. Schön wäre noch das Wegfiltern/Vereinfachen vom Hostname und dem "kernel:", weil beides klar ist… aber das finde ich auch noch raus.

Gruß Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

Security
Beiträge: 16
Registriert: 28.09.2011 06:24:27

Re: Wo befindet sich iptables und die Basis-Settings-Datei

Beitrag von Security » 16.04.2012 04:05:07

@Cae: Mit dem Prefix könnte man sich das durchaus vereinfachen. Aber ist es bei Dir auch so, dass die Treffer in die neue Datei geschrieben werden und aber auch in der aus der gefiltert werden soll bleiben? Oder hast Du so was gar nicht gemacht.

Ich kann das Doppel bei mir echt nicht gebrauchen. Finde auch keine gute Anleitung zu dem :msg,... bei rsyslog.

Cae
Beiträge: 6349
Registriert: 17.07.2011 23:36:39
Wohnort: 2130706433

Re: Wo befindet sich iptables und die Basis-Settings-Datei

Beitrag von Cae » 16.04.2012 05:47:15

Code: Alles auswählen

# cat /etc/rsyslog.d/iptables-local.conf
:msg,regex,"fw-"   -/var/log/iptables-local.log
& ~
# logger -- fw-testit
# grep fw-testit /var/log/{syslog,iptables-local.log}
/var/log/iptables-local.log:Apr 16 05:39:47 $hostname root: fw-testit
Die logger-Zeile schickt diese Meldung an den Syslog-Daemon, hier also der rsyslogd. Die Zeile taucht anschließend nur im speziellem Log auf.
Zwei Dinge fallen mir dazu noch ein: Nach einer Änderung in den rsyslog-*.conf muss der Daemon neu gestartet oder zumindest reloaded weden:

Code: Alles auswählen

/etc/init.d/rsyslogd restart
. Und das Minus - vor'm Pfad bedeutet, dass Meldungen gepuffert werden dürfen. Für extrem kritische Logs kann es Sinn machen, den Puffer rauszunehmen, dann könnte es nicht passieren, dass eine kritische Log-Meldung zwar im Puffer, aber nicht auf der Platte landet (weil das System gerade abschmiert, das FS ro wird, etc.).

Gruß Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.

—Bruce Schneier

Security
Beiträge: 16
Registriert: 28.09.2011 06:24:27

Re: Wo befindet sich iptables und die Basis-Settings-Datei

Beitrag von Security » 16.04.2012 10:11:46

War ne weile Down, das Forum.

Kann es sein, dass die Abarbeitungsreihenfolge in /etc/rsyslog.d von Bedeutung ist? Habe bei dem Namen meiner conf-Datei einfach mal eine Zahl, die niedriger ist als die andere, davor gehängt. Mal sehen ob es jetzt klappt wie ich es will und nicht wieder alles in beiden Dateien auftaucht.

Wie kann man eigentlich rsyslog dazu bewegen, neu einzulesen ohne neu zu starten?

Antworten