Shorewall Log

[simmeone]

Hallo Gemeinde,

ich habe ein Problem(chen) mit dem Shorewall Log, welcher mir staendig die Konsole zu pflastert (was ich als sehr nervig empfinde).
Es gibt auf der Shorewall-Seite eine Loesung zu diesem Problem(chen). Einmal, sollte es funktionieren, im start-Skrip ein dmesg -n blubb reinzupappen, oder unter Debian das /etc/init.d/klogd die Zeile KLOGD=“-c 5” abaendern.

Bei mir tut weder das eine, noch das andere. Wenn ich mich als root einlogge und per Hand den Befehl dmesg -n 1 absetze gibt Shorewall endlich Ruhe.

Gibt es da noch irgendwas zu beachten, was ich vielleicht uebersehen habe? Vielleicht beim Log noch was einstellen? Im Moment gebe ich mich mit meiner Loesung zufrieden, aber eigentlich nervts, das ich mich erst einloggen musz, um das zupappen zu verhindern.

Liebe Gruesze ...

[Kelpin]

Hi,
wie ich sehe genau mein Problem. Guter Zeitpunkt mich mal wieder drum zu kümmern.
Wie hast Du denn versucht

Code: Alles auswählen

dmesg -n 1

beim Start auszuführen??

Ich weiß schon, was meandtheshell dazu sagen wird: besser ist iptables direkt zu verwenden. Recht hat er ja, speziell was das loggen angeht scheint die Konfigurierbarkeit von shorewall ihre Grenzen zu haben. Ich kriegs z.B nicht hin, die unzähligen ACCEPT's nicht zu loggen. In der nächsten kreativen Pause mach' ich das wohl auch.

Bis denn

[simmeone]

In den Shorewall FAQs steht drin, man solle das dmesg mit in /etc/shorewall/start reinnehmen, soll angeblich helfen. Bei mir tut es das nicht. Die Shorewall pumpt mir nach wie vor die Konsole zu.

So, das Problem(chen) ist anscheinend geloest. Guck mal in den Policies /etc/shorewall/policy wie bei Dir die Loglevels gesetzt sind. Bei mir waren die alle auf alert, ich habe sie auf info runtergesetzt, nun gehts.

[rendegast]

Hallo,

die Ausgabe in der syslog.conf auf ein festes Terminal, vielleicht tty9 legen statt auf /dev/console?

[Kelpin]

Hallo,

die Ausgabe in der syslog.conf auf ein festes Terminal, vielleicht tty9 legen statt auf /dev/console?

Joh, funktioniert schon, aber dmesg -n 1 ist trotzdem notwendig. Sonst laufen alle kernel logs durch die Konsole.
@simmeone: die policies greifen an sich nur wenn keine rule vorher zutrifft. Und ich habe nur die ALL to ALL REJECT Rule auf debug, alles andere ist err. Trotzdem werden die ACCEPT's mitgelogt s. auch

Code: Alles auswählen

shorewall logwatch

Gruß

[jd]

Ich habe mal ein paar kleinere Fragen zu Shorewall.

Wie seid Ihr mit dem Paket zufrieden?

Sollte man sie noch einsetzen? ich habe gelesen, dass sie angeblich ohne Maintainer ist.

Ich habe zur Zeit auf einem Woody-Server ein eigenes (IMO recht umfangreiches) ipchains-Script. Da es ein Heimnetz ist, bei dem nur ein alter P130 als Samba/NFS/Wiki Server und Gateway (T-DSL) werkelt, würde mich interessieren, ob Shorewall nicht schon zu viel ist.

Habt Ihr vielleicht mal eine Beispiel-Konfiguration (ohne DMZ u.ä.)?

[Kelpin]

Hi,
wenn Du verstanden hast was in Deinem ipchains script abgeht gibt es wohl keinen Grund auf shorewall umzusteigen. Es sei denn Du willst aufdas neuere iptables umsteigen und Dich nicht in die Syntax einlesen. Nach meinem Verständnis macht shorewall nix anderes als iptables zu konfigurieren und zu starten. Der Vorteil liegt einzig in der relativ intuitiven und leicht zu erlernenden konfiguration.
Insofern bin ich zufrieden mit dem unterschwelligen Wissen, daß ich mich besser in iptables einlasen sollte.
Gruß

[jd]

Das IPChain-Script habe ich vor Ewigkeiten mal geschrieben. Ich weiß zwar noch was ich da gemacht habe, aber eine Umstellung auf iptables ist so aufwendig, dass ich auch theoretisch auch auf Shorewall umstellen könnte.

Hintergrund ist folgender: mein Server(chen) läuft auf Woody. Ich würde nun aber gerne auf Sarge und Kernel 2.6 umstellen. Da ich dort mit iptables arbeiten müsste, habe ich die Umstellung erst mal aufgeschoben.

Wenn ich nun aber mit Shorewall (oder einem anderen Tool) arbeiten würde, dann könnte ich die Firewall unabhängig von Kernel gestalten. Das wäre IMO ein großer Vorteil.

Asu dem Grund suchte ich kleine, reale Konfiguration, anhand der ich etweder dan Aufwand abschätzen kann, oder die ich als Basis nehmen kann.

[Kelpin]

Hi,
das beste wäre wohl Du schaust mal auf http://www.shorewall.net und blätterst kurz durch die Doku. Ich hab' nicht lang gebraucht zum Einlesen. Es gibt je eine Konfigdatei für Interfaces, Hosts, Zones, Rules und Policy. Alle sind für sich nochmal ausführlich kommentiert.
Wenn man weiß, daß zuerst Rules abgearbeitet werden und nur wenn nichts gepaßt hat die Policies greifen alles recht intuitiv.
Bei debian gibt es die Datei

Code: Alles auswählen

/etc/default/shorewall

wenn alles funktioniert dort "startup=0" in "startup=1" ändern für automatischen Start beim booten.