форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"iptables ... -j LOG - ни как не хочет"

Сообщение от stolik (ok) on 27-Янв-07, 01:06

Здасте всем. Подскажите пожалуйста. Проблемма в следующем. На машине установленна Fedora Core 6 с ядром 2.6.18-1.бла-бла-бла короче пробовал разные(ото шо после точки). Задаю правила для запипси логов определенных пакетов. Вроде все хорошо, iptables принимает, все нормально, но логи не регистрируются. Syslog вроде сконфигурирован нормально, все соответствующие модули ядра для iptables загружены. Но результата никакого. Пробую аналогичную вещь на ядре 2.4.чё-то_там_ещё (пробовал на разных 2.4) всё работает на ура, и логи пакетов идут и все дела. С 2.6.18-1.и_чё_то_там_ещё никак. Может конечно дело не в ядре. Может кто подскажет. Смотрел .config ядра, вроде сконфигурировано ядро нормально, с полной поддержкой netfilter.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "iptables ... -j LOG - ни как не хочет"

Сообщение от zingel on 27-Янв-07, 13:20

>Здасте всем. Подскажите пожалуйста. Проблемма в следующем. На машине установленна Fedora Core >6 с ядром 2.6.18-1.бла-бла-бла короче пробовал разные(ото шо после точки). Задаю >правила для запипси логов определенных пакетов. Вроде все хорошо, iptables принимает, >все нормально, но логи не регистрируются. Syslog вроде сконфигурирован нормально, все >соответствующие модули ядра для iptables загружены. Но результата никакого. Пробую аналогичную >вещь на ядре 2.4.чё-то_там_ещё (пробовал на разных 2.4) всё работает на >ура, и логи пакетов идут и все дела. С 2.6.18-1.и_чё_то_там_ещё никак. >Может конечно дело не в ядре. Может кто подскажет. Смотрел .config >ядра, вроде сконфигурировано ядро нормально, с полной поддержкой netfilter. пример правила дайте плз, потом вывод iptables --list && sysctl -a | grep tcp

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "iptables ... -j LOG - ни как не хочет"
	Сообщение от stolik (ok) on 28-Янв-07, 18:57
	Вот что выдает сам iptables -L -n а именно то правило которое я назначаю target   prot opt  source     destination LOG      tcp  --   0.0.0.0/0  0.0.0.0/0   tcp dpt:22 LOG flags 0 level 7 prefix `SSH_INPUT' ну и соответственно задаётся оно как iptables -A INPUT -p tcp --dport 22 -j LOG --log-level debug --log-prefix "SSH_INPUT" пробовал и так iptables -A INPUT -p tcp --dport 22 -j LOG --log-level info --log-prefix "SSH_INPUT" т.е. получается, что level = 0 и всё равно ядро молчит Да по-разному пробовал задать действие LOG в iptables, но результата пока нет. В /etc/syslog.conf уже делаю отдельную строку вывода сообщений ядра на всех уровнях, но логи iptables не вижу. Хотя как я уже сказал на ядре 2.4 такие вещи работают на ура На днях пересобрал ядро 2.6.18.-1.2869 и все равно все в пустую Ах да, и конечно же sysctl -a | grep tcp sunrpc.tcp_slot_table_entries = 16 net.ipv4.netfilter.ip_conntrack_tcp_max_retrans = 3 net.ipv4.netfilter.ip_conntrack_tcp_be_liberal = 0 net.ipv4.netfilter.ip_conntrack_tcp_loose = 3 net.ipv4.netfilter.ip_conntrack_tcp_timeout_max_retrans = 300 net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 10 net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 120 net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack = 30 net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60 net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120 net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 432000 net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 60 net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 120 net.ipv4.tcp_slow_start_after_idle = 1 net.ipv4.tcp_dma_copybreak = 4096 net.ipv4.tcp_workaround_signed_windows = 0 net.ipv4.tcp_base_mss = 512 net.ipv4.tcp_mtu_probing = 0 net.ipv4.tcp_abc = 0 net.ipv4.tcp_congestion_control = bic net.ipv4.tcp_tso_win_divisor = 3 net.ipv4.tcp_moderate_rcvbuf = 1 net.ipv4.tcp_no_metrics_save = 0 net.ipv4.tcp_low_latency = 0 net.ipv4.tcp_frto = 0 net.ipv4.tcp_tw_reuse = 0 net.ipv4.tcp_adv_win_scale = 2 net.ipv4.tcp_app_win = 31 net.ipv4.tcp_rmem = 4096        87380   2097152 net.ipv4.tcp_wmem = 4096        16384   2097152 net.ipv4.tcp_mem = 49152        65536   98304 net.ipv4.tcp_dsack = 1 net.ipv4.tcp_ecn = 0 net.ipv4.tcp_reordering = 3 net.ipv4.tcp_fack = 1 net.ipv4.tcp_orphan_retries = 0 net.ipv4.tcp_max_syn_backlog = 1024 net.ipv4.tcp_rfc1337 = 0 net.ipv4.tcp_stdurg = 0 net.ipv4.tcp_abort_on_overflow = 0 net.ipv4.tcp_tw_recycle = 0 net.ipv4.tcp_syncookies = 1 net.ipv4.tcp_fin_timeout = 60 net.ipv4.tcp_retries2 = 15 net.ipv4.tcp_retries1 = 3 net.ipv4.tcp_keepalive_intvl = 75 net.ipv4.tcp_keepalive_probes = 9 net.ipv4.tcp_keepalive_time = 7200 net.ipv4.tcp_max_tw_buckets = 180000 net.ipv4.tcp_max_orphans = 16384 net.ipv4.tcp_synack_retries = 5 net.ipv4.tcp_syn_retries = 5 net.ipv4.tcp_retrans_collapse = 1 net.ipv4.tcp_sack = 1 net.ipv4.tcp_window_scaling = 1 net.ipv4.tcp_timestamps = 1 Ну должна же быть в чем то причина, чудес то не бывает. :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "iptables ... -j LOG - ни как не хочет"
	Сообщение от stolik (ok) on 31-Янв-07, 23:38
	Ну неужели ни у кого нет никаких идей, в чем причина такого поведения iptables. Где хоть искать причину :/ tnet.ipv4.tcp_keepalive_time = 7200 >
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]