Wo befindet sich iptables und die Basis-Settings-Datei
Wo befindet sich iptables und die Basis-Settings-Datei
Hallo,
in neuen Versionen, wird das LOG von iptables in '/var/log/kern.log/' gespeichert und nicht mehr in '/var/log/kern.log/'. Ich möchte das aber so nicht haben. Am liebsten wieder wie vorher. Aber ich finde keine Informationen dazu wie, iptables installiert ist. Offenbar gehört das zum Kernel. Aber hat auch iptables eine Konfigurationsdatei wo grundlegende Einstellungen befolgt werden?
Danke für eure Hilfe im voraus.
in neuen Versionen, wird das LOG von iptables in '/var/log/kern.log/' gespeichert und nicht mehr in '/var/log/kern.log/'. Ich möchte das aber so nicht haben. Am liebsten wieder wie vorher. Aber ich finde keine Informationen dazu wie, iptables installiert ist. Offenbar gehört das zum Kernel. Aber hat auch iptables eine Konfigurationsdatei wo grundlegende Einstellungen befolgt werden?
Danke für eure Hilfe im voraus.
- Six
- Beiträge: 8069
- Registriert: 21.12.2001 13:39:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Siegburg
Re: Wo befindet sich iptables und die Basis-Settings-Datei
iptables benutzt den Systemlogger, also rsyslog. Den kannst du in /etc/rsyslog.conf so konfigurieren, wie du es willst. Howtos findet man im Netz reichlich.
Be seeing you!
Re: Wo befindet sich iptables und die Basis-Settings-Datei
Ich komme bei rsyslog immer auf syslog bei Ubuntu. Ist dass das selbe? Ich habe bis jetzt nur so viel herausbekommen, dass man z.B. hinter kern. das LOG Level angeben kann. Aber ich möchte es eher so haben:Six hat geschrieben:iptables benutzt den Systemlogger, also rsyslog. Den kannst du in /etc/rsyslog.conf so konfigurieren, wie du es willst. Howtos findet man im Netz reichlich.
kern.iptables
Re: Wo befindet sich iptables und die Basis-Settings-Datei
ZBsp. als /etc/rsyslog.d/20_FIREWALL.conf :
('& ~' beendet für die gerade behandelten Meldungen die weitere Bearbeitung durch rsyslog)
Für die Rotation in etwa sowas, /etc/logrotate.d/zz_OTHER.log : (In diesem Beispiel muß speziell durch den Bezug der Dienstaktionen auf Namensgebung/Position der Regel geachtet werden,
um nicht in Konflikt mit anderen logrotate-Aktionen zu kommen.
Werkzeuge dabei wären zBsp. 'lsof', Beobachtung von Meldungen resp. fehlende Meldungen nach einem logrotate,
Vergleich mit den anderen logrotate-Regeln usw. )
-------------------------------------------
http://packages.ubuntu.com/rsyslog
Der rsyslog hat mit squeeze(?) den klassischen syslog/bootlog/kernlog als default abgelöst.
Code: Alles auswählen
:msg,regex,"IN=.*OUT=.*SRC=.*DST=" -/var/log/FIREWALL.log
& ~
Für die Rotation in etwa sowas, /etc/logrotate.d/zz_OTHER.log :
Code: Alles auswählen
/var/log/DNSMASQ.log
/var/log/DOVECOT.log
/var/log/FIREWALL.log
/var/log/POSTFIX.log
/var/log/SAMBA-daemon-syslog
/var/log/SMARTD-daemon-syslog
{
size 100k
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
invoke-rc.d rsyslog reload > /dev/null
/etc/init.d/samba reload > /dev/null
invoke-rc.d smartmontools reload > /dev/null
endscript
}
um nicht in Konflikt mit anderen logrotate-Aktionen zu kommen.
Werkzeuge dabei wären zBsp. 'lsof', Beobachtung von Meldungen resp. fehlende Meldungen nach einem logrotate,
Vergleich mit den anderen logrotate-Regeln usw. )
-------------------------------------------
http://packages.debian.org/rsyslogSecurity hat geschrieben: Ich komme bei rsyslog immer auf syslog bei Ubuntu. Ist dass das selbe?
http://packages.ubuntu.com/rsyslog
Der rsyslog hat mit squeeze(?) den klassischen syslog/bootlog/kernlog als default abgelöst.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: Wo befindet sich iptables und die Basis-Settings-Datei
Ich gehe mal davon aus, dass "IN=.*OUT=.*SRC=.*DST=.*" nicht falsch ist.
Eine Rotationsänderung habe ich ausgelassen. Komprimierungen für diese neue Datei kann ich ja noch später hinzufügen. Werde jetzt einfach mal beobachten, ob ich nach 24H für die Zeit ab jetzt, noch LOGs von iptables in kern.log finde. Ansonsten Danke schon mal!
Eine Rotationsänderung habe ich ausgelassen. Komprimierungen für diese neue Datei kann ich ja noch später hinzufügen. Werde jetzt einfach mal beobachten, ob ich nach 24H für die Zeit ab jetzt, noch LOGs von iptables in kern.log finde. Ansonsten Danke schon mal!
Re: Wo befindet sich iptables und die Basis-Settings-Datei
Was bedeutet der Bindestrich direkt vor dem Path?
Die Einträge werden in die andere Datei kopiert aber werden auch in der kern.log gespeichert. Ich will das sie verschoben werden.
Wie genau funktioniert :msg,regex? Muss der regex auf die ganze Zeile übereinstimmen oder nur Teilweise aber nichts darf im regex enthalten sein, was es nicht in der Zeile gibt?
Die Einträge werden in die andere Datei kopiert aber werden auch in der kern.log gespeichert. Ich will das sie verschoben werden.
Wie genau funktioniert :msg,regex? Muss der regex auf die ganze Zeile übereinstimmen oder nur Teilweise aber nichts darf im regex enthalten sein, was es nicht in der Zeile gibt?
Re: Wo befindet sich iptables und die Basis-Settings-Datei
Genau so eine Filterregel habe ich auch gebraucht, danke rendegast.
Allerdings habe ich als RegEx einfach "myfw-" genommen (warum geht das überhaupt ohne .*?), welches ich in den Firewall-Skripten mitgebe:. Schön wäre noch das Wegfiltern/Vereinfachen vom Hostname und dem "kernel:", weil beides klar ist… aber das finde ich auch noch raus.
Gruß Cae
Allerdings habe ich als RegEx einfach "myfw-" genommen (warum geht das überhaupt ohne .*?), welches ich in den Firewall-Skripten mitgebe:
Code: Alles auswählen
iptables -A INPUT -j LOG --log-prefix="myfw-IN-"
Gruß Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
Re: Wo befindet sich iptables und die Basis-Settings-Datei
@Cae: Mit dem Prefix könnte man sich das durchaus vereinfachen. Aber ist es bei Dir auch so, dass die Treffer in die neue Datei geschrieben werden und aber auch in der aus der gefiltert werden soll bleiben? Oder hast Du so was gar nicht gemacht.
Ich kann das Doppel bei mir echt nicht gebrauchen. Finde auch keine gute Anleitung zu dem :msg,... bei rsyslog.
Ich kann das Doppel bei mir echt nicht gebrauchen. Finde auch keine gute Anleitung zu dem :msg,... bei rsyslog.
Re: Wo befindet sich iptables und die Basis-Settings-Datei
Code: Alles auswählen
# cat /etc/rsyslog.d/iptables-local.conf
:msg,regex,"fw-" -/var/log/iptables-local.log
& ~
# logger -- fw-testit
# grep fw-testit /var/log/{syslog,iptables-local.log}
/var/log/iptables-local.log:Apr 16 05:39:47 $hostname root: fw-testit
Zwei Dinge fallen mir dazu noch ein: Nach einer Änderung in den rsyslog-*.conf muss der Daemon neu gestartet oder zumindest reloaded weden:
Code: Alles auswählen
/etc/init.d/rsyslogd restart
Gruß Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
Re: Wo befindet sich iptables und die Basis-Settings-Datei
War ne weile Down, das Forum.
Kann es sein, dass die Abarbeitungsreihenfolge in /etc/rsyslog.d von Bedeutung ist? Habe bei dem Namen meiner conf-Datei einfach mal eine Zahl, die niedriger ist als die andere, davor gehängt. Mal sehen ob es jetzt klappt wie ich es will und nicht wieder alles in beiden Dateien auftaucht.
Wie kann man eigentlich rsyslog dazu bewegen, neu einzulesen ohne neu zu starten?
Kann es sein, dass die Abarbeitungsreihenfolge in /etc/rsyslog.d von Bedeutung ist? Habe bei dem Namen meiner conf-Datei einfach mal eine Zahl, die niedriger ist als die andere, davor gehängt. Mal sehen ob es jetzt klappt wie ich es will und nicht wieder alles in beiden Dateien auftaucht.
Wie kann man eigentlich rsyslog dazu bewegen, neu einzulesen ohne neu zu starten?