The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"iptables и   -j LOG"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Изначальное сообщение [ Отслеживать ]

"iptables и   -j LOG"  +/
Сообщение от dron0 email on 20-Ноя-13, 10:15 
Пару дней ломаю голову почему iptables не логирует пакеты.
Для отладки уж совсем упростил правила ,пытаюсь логировать Asterisk, но все равно в messages тишина. Немогу понять где мое упущение, прошу помощи.

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT

iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT

iptables -A INPUT -i eth1 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth1 -p icmp -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT  

iptables -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT

iptables -A INPUT -i eth2 -p udp --dport 1194  -j ACCEPT

iptables -A INPUT  -i eth2 -p udp --dport 5060 -j LOG --log-level info --log-prefix 'SIP'

iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "iptables и   -j LOG"  +/
Сообщение от PavelR (ok) on 20-Ноя-13, 15:31 
не надо показывать ваш скрипт. показывайте iptables-save.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "iptables и   -j LOG"  +/
Сообщение от Sergey (??) on 20-Ноя-13, 23:53 
я деталей не смотрел, но раз там 3 интерфейса, не может это быть не INPUT, но FORWARD?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "iptables и   -j LOG"  +/
Сообщение от Дядя_Федор on 21-Ноя-13, 08:44 
> я деталей не смотрел, но раз там 3 интерфейса, не может это
> быть не INPUT, но FORWARD?

INPUT - это всегда цепочка, обрабатывающая трафик ИЗВНЕ (неважно, от какого интерфейса) к ЛОКАЛЬНОМУ приложению. FORWARD - цепочка, которая занимается обработкой пакетов МЕЖДУ интерфейсами. Почитайте внимательно теоретические материалы по iptables. На этом же ресурсе даже схема прохождения пакетов была, помнится. Да и в "интырнэтах" подобных схем - выше крыши.


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "iptables и   -j LOG"  +/
Сообщение от rusadmin (ok) on 21-Ноя-13, 08:49 
>> я деталей не смотрел, но раз там 3 интерфейса, не может это
>> быть не INPUT, но FORWARD?
>  INPUT - это всегда цепочка, обрабатывающая трафик ИЗВНЕ (неважно, от какого
> интерфейса) к ЛОКАЛЬНОМУ приложению. FORWARD - цепочка, которая занимается обработкой
> пакетов МЕЖДУ интерфейсами. Почитайте внимательно теоретические материалы по iptables.
> На этом же ресурсе даже схема прохождения пакетов была, помнится. Да
> и в "интырнэтах" подобных схем - выше крыши.

С чего вы решили, что астериск у него установлен не на этой машине?
В одном согласен - недостаточно информации.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "iptables и   -j LOG"  +/
Сообщение от Дядя_Федор on 21-Ноя-13, 10:33 
> С чего вы решили, что астериск у него установлен не на этой
> машине?

Эммм. Я вроде про Астериск вообще ни слова не сказал. :-() Это был комментарий на фразу о разнице между INPUT и FORWARD. Что и где там установлено - я вообще не вникал, да ТС об этом и не говорил.


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

4. "iptables и   -j LOG"  +/
Сообщение от rusadmin (ok) on 21-Ноя-13, 08:47 
Тут 2 варианта:
Либо пакет не доходит до правила с -j LOG (срабатывания выше), либо нет пакетов, удовлетворяющему условию  -A INPUT  -i eth2 -p udp --dport 5060.
В целом работоспособность можете проверить командой iptables -I INPUT  -j LOG. Только удалить потом не забудте =)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру