- Accueil
- » Forum
- » Serveurs
- » log iptables
Pages : 1
#1 Le 28/05/2014, à 20:30
- tounefr
log iptables
Bonjour,
J'aimerais pouvoir logger ton mon trafic entrant qui ne correspondent pas à mes règles configurés avec iptables.
J'ai crée une chaîne avec la liste des ports autorisés (chaîne "ports")... Est t'il possible de loger tout le trafic entrant essayant de se connecter sur un port non autorisé ne correspondant pas à la chaîne "ports" ?
Mes règles :
# Generated by iptables-save v1.4.8 on Wed May 28 21:29:43 2014
*raw
:PREROUTING ACCEPT [1455472:1606004747]
:OUTPUT ACCEPT [1214925:1789312108]
COMMIT
# Completed on Wed May 28 21:29:43 2014
# Generated by iptables-save v1.4.8 on Wed May 28 21:29:43 2014
*nat
:PREROUTING ACCEPT [36264:2091350]
:INPUT ACCEPT [4181:516933]
:OUTPUT ACCEPT [4781:336110]
:POSTROUTING ACCEPT [4781:336110]
COMMIT
# Completed on Wed May 28 21:29:43 2014
# Generated by iptables-save v1.4.8 on Wed May 28 21:29:43 2014
*mangle
:PREROUTING ACCEPT [1455473:1606004799]
:INPUT ACCEPT [1455473:1606004799]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1214935:1789318828]
:POSTROUTING ACCEPT [1214935:1789318828]
COMMIT
# Completed on Wed May 28 21:29:43 2014
# Generated by iptables-save v1.4.8 on Wed May 28 21:29:43 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [187038:450643253]
:ports - [0:0]
-A INPUT -j ports
-A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j DROP
-A ports -p tcp -m tcp --dport 80 -j ACCEPT
-A ports -p tcp -m tcp --dport 2222 -j ACCEPT
-A ports -p tcp -m tcp --dport 51413 -j ACCEPT
-A ports -p udp -m udp --dport 51413 -j ACCEPT
-A ports -p udp -m udp --dport 9987 -j ACCEPT
-A ports -p tcp -m tcp --dport 30033 -j ACCEPT
COMMIT
# Completed on Wed May 28 21:29:43 2014Merci d'avance,
Toune
Dernière modification par tounefr (Le 28/05/2014, à 20:36)
Hors ligne
#2 Le 28/05/2014, à 21:15
- tiramiseb
Re : log iptables
Salut,
Tu peux mettre une règle de logging à la fin, tout simplement...
Cela étant dit, pourquoi utiliser directement iptables ? On n'est plus dans les années 90 !
Utilise UFW ou, si tu as des besoins plus complexes, Shorewall...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#3 Le 28/05/2014, à 21:28
- tounefr
Re : log iptables
J'ai ajouté une règle LOG à la fin et je n'ai aucun log dans "/var/log/messages" de paquet rejeté (j'ai test un scan de ports).
# Generated by iptables-save v1.4.8 on Wed May 28 22:25:51 2014
*raw
:PREROUTING ACCEPT [3991403:1736496774]
:OUTPUT ACCEPT [3908744:9100238527]
COMMIT
# Completed on Wed May 28 22:25:51 2014
# Generated by iptables-save v1.4.8 on Wed May 28 22:25:51 2014
*nat
:PREROUTING ACCEPT [133655:7668400]
:INPUT ACCEPT [15171:1864653]
:OUTPUT ACCEPT [12294:938946]
:POSTROUTING ACCEPT [12294:938946]
COMMIT
# Completed on Wed May 28 22:25:51 2014
# Generated by iptables-save v1.4.8 on Wed May 28 22:25:51 2014
*mangle
:PREROUTING ACCEPT [3991403:1736496774]
:INPUT ACCEPT [3991403:1736496774]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [3908746:9100238839]
:POSTROUTING ACCEPT [3908746:9100238839]
COMMIT
# Completed on Wed May 28 22:25:51 2014
# Generated by iptables-save v1.4.8 on Wed May 28 22:25:51 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [375147:976820845]
:ports - [0:0]
-A INPUT -j ports
-A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j DROP
-A INPUT -m limit --limit 1/sec -j LOG --log-prefix "Iptables INPUT DROP : "
-A ports -p tcp -m tcp --dport 80 -j ACCEPT
-A ports -p tcp -m tcp --dport 2222 -j ACCEPT
-A ports -p tcp -m tcp --dport 51413 -j ACCEPT
-A ports -p udp -m udp --dport 51413 -j ACCEPT
-A ports -p udp -m udp --dport 9987 -j ACCEPT
-A ports -p tcp -m tcp --dport 30033 -j ACCEPT
COMMIT
# Completed on Wed May 28 22:25:51 2014J'utilise iptables parce que je le trouve très puissant et j'ai appris avec iptables et me va très bien. 
Hors ligne
#4 Le 28/05/2014, à 21:46
- tiramiseb
Re : log iptables
et me va très bien
Pourtant tu n'arrives pas à y faire ce que tu veux, alors que ça vient d'office avec UFW et Shorewall...
Moi aussi j'ai appris avec iptables, il y a 15 ans, mais ensuite j'ai appris à utiliser des logiciels performants 
Tu sais, Shorewall est tout aussi puissant qu'iptables...
Quand tu écris un courrier, tu écris directement un fichier au langage PostScript ou alors tu utilises un traitement de texte ? 
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#5 Le 28/05/2014, à 21:48
- tounefr
Re : log iptables
Mon routeur open source utilise iptables donc je suis un peu obligé de touché à iptables. 
Je vais m'informer sur UFW et Shorewall. As tu une idée pour mon problème ?
Hors ligne
#6 Le 28/05/2014, à 23:37
- pires57
Re : log iptables
Petite divergence de point de vue avec tiramiseb ici (oui le barbu est de retour)
iptables est un très bon outils pour apprendre le firewalling. Un iptables bien maîtriser est bien plus puissant qu'un UFW mais il y a ce "bien maîtriser" qui est a prendre en compte.
iptables -N LOGDROP
iptables -A LOGDROP -j LOG --log-prefix "LOGDROP: "
iptables -A LOGDROP -j DROPInspire toi de cela
Utilisateur d'Archlinux, Ubuntu et Kali Linux
Administrateur système et réseau spécialisé Linux.
LinkedIn
Hors ligne
#7 Le 29/05/2014, à 21:09
- tiramiseb
Re : log iptables
Je vais m'informer sur UFW et Shorewall.
Ce sont "juste" des surcouches à iptables, le rendant plus facile à installer.
As tu une idée pour mon problème ?
Oui, peut-être : tu as mis ta règle de LOG après la redirection vers DROP.
Un iptables bien maîtriser est bien plus puissant qu'un UFW
Bien sûr, c'est bien plus puissant que UFW.
Par contre, ce n'est pas plus puissant que Shorewall.
Pas pour rien que je parle des deux, selon les besoins
Menfin là il me semble qu'UFW suffirait.
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#8 Le 29/05/2014, à 21:43
- tounefr
Re : log iptables
Sa ne fonctionne toujours pas ...
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 4263 387K ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
2 35M 3433M ports all -- * * 0.0.0.0/0 0.0.0.0/0
3 7103K 1499M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate ESTABLISHED
4 17119 1410K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
5 2024K 100M DROP all -- * * 0.0.0.0/0 0.0.0.0/0
6 0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4
Chain FORWARD (policy DROP 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 6338 packets, 13M bytes)
num pkts bytes target prot opt in out source destination
Chain ports (1 references)
num pkts bytes target prot opt in out source destination
1 1119K 50M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
2 19851 1271K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2222
3 24M 1636M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:51413
4 441K 62M ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:51413
5 791K 80M ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:9987
6 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:30033
7 14964 2262K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443Hors ligne
#9 Le 29/05/2014, à 22:13
- tiramiseb
Re : log iptables
Sa ne fonctionne toujours pas ...
Ben oui, vu que ton DROP est avant ton LOG, comme je te l'ai indiqué.
D'ailleurs pourquoi tu fais un "-j DROP" ?
Mets "DROP" en policy plutôt...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#10 Le 29/05/2014, à 22:15
- Haleth
Re : log iptables
Mettre des logs iptables, c'est généralement une très mauvaise idée.
C'est tellement facile de tuer une machine avec ce genre de règles ..
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#11 Le 29/05/2014, à 22:23
- tounefr
Re : log iptables
Sa ne fonctionne toujours pas ...
Ben oui, vu que ton DROP est avant ton LOG, comme je te l'ai indiqué.
D'ailleurs pourquoi tu fais un "-j DROP" ?
Mets "DROP" en policy plutôt...
Si je met LOG avant il me log tous les packets entrant et non les packets DROPPED !
Mettre des logs iptables, c'est généralement une très mauvaise idée.
C'est tellement facile de tuer une machine avec ce genre de règles ..
Non, pas avec le module "limit".
Est ce que c'est possible de logger les ports qui ne correspondent par à la chaîne "ports" ??
Dernière modification par tounefr (Le 29/05/2014, à 22:29)
Hors ligne
#12 Le 30/05/2014, à 07:54
- Haleth
Re : log iptables
Non, pas avec le module "limit".
Tu peux développer ?
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#13 Le 30/05/2014, à 10:15
- tounefr
Re : log iptables
Non, pas avec le module "limit".
Tu peux développer ?
Exemple : iptables -A INPUT -m limit --limit 1/s -j LOG
Hors ligne
#14 Le 30/05/2014, à 10:18
- Haleth
Re : log iptables
Ok, tu log un paquet par seconde
Du coup, j'ai encore plus de mal à comprendre l'utilité de la chose
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#15 Le 01/06/2014, à 16:15
- tiramiseb
Re : log iptables
Mettre des logs iptables, c'est généralement une très mauvaise idée.
Ah bon ? Pourtant c'est ce qui se fait par défaut (ou au moins sur les configs d'exemple) sur tous les logiciels sérieux de firewalling. Je pense notamment à UFW et Shorewall.
Pour ma part, j'ai bien souvent eu besoin de ces logs pour différentes raisons, notamment analyser les problèmes d'accès rencontrés (je parle ici de pare-feu de réseau bien sûr)...
Ok, tu log un paquet par seconde
Du coup, j'ai encore plus de mal à comprendre l'utilité de la chose
Non, ça limite le nombre de messages identiques. Deux paquets différents en moins d'une seconde seront bel et bien loggés tous les deux...
Si je met LOG avant il me log tous les packets entrant et non les packets DROPPED !
Tu mets bien LOG juste avant DROP (ou alors en tout dernier si tu enlèves cette règle DROP inutile en mettant la POLICY à DROP) ?
Car tout ce qui aura été envoyé en "ACCEPT" avant sera sorti du pare-feu...
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
#16 Le 01/06/2014, à 16:33
- Haleth
Re : log iptables
Ok, c'est donc moins stupide que de log un paquet par seconde
Ça reste une très mauvaise idée, n'importe qui peut faire tomber ton serveur avec un hping
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#17 Le 01/06/2014, à 16:48
- tiramiseb
Re : log iptables
Ça reste une très mauvaise idée, n'importe qui peut faire tomber ton serveur avec un hping
Meeeuuuhhh non, tant que le partitionnement est bien fait
Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com
Hors ligne
Pages : 1