MkWikiDeSysOp: 8 Versionen importiert: Import von michigreat.a.wiki-site.com

2018-06-19T18:48:00Z

8 Versionen importiert: Import von michigreat.a.wiki-site.com

Neue Seite

== Loggen von neuen ausgehenden Verbindungen ==

iptables -t filter -A OUTPUT -m state --state NEW -j LOG --log-prefix "outgoing " --log-level 6

Oder mit ulog (hierfür muss ulogd installiert sein):

iptables -t filter -A OUTPUT -m state --state NEW -j ULOG --ulog-prefix outgoing --ulog-nlgroup 1 --ulog-qthreshold 2

Eventuell ist es sinnvoll, noch die Schnittstelle mit "-i iface" anzugeben (iface könnte bspw. eth0, ppp0 o.ä. sein).

== Loggen von eingehenden Verbindungen auf bestimmten Ports ==

iptables -t filter -A INPUT -m state --state NEW -i eth0 -p tcp -m multiport --dports 80,443 -j LOG --log-prefix "Webserver" --log-level notice

== Log Levels ==

Mit dem Parameter "--log-level" gibt man den "Log Level", wahlweise als Nummer oder als Text, wie folgt an:

{| border="1"
! Nummer || Text
|-
| 0 || emerg
|-
| 1 || alert
|-
| 2 || crit
|-
| 3 || error
|-
| 4 || warning
|-
| 5 || notice
|-
| 6 || info
|}

== syslog ==

"-j LOG" schreibt alle Ereignisse in das Systemlog (/var/log/syslog). So ein Eintrag sieht zum Beispiel so aus:

Aug 19 20:18:38 TravelMateB115 kernel: [ 5435.963994] MAILSRV IN IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=44 TOS=0x00 PREC=0x00 TTL=58 ID=20464 PROTO=TCP SPT=39409 DPT=80 WINDOW=1024 RES=0x00 SYN URGP=0

Leider ist die Position der hinteren Attribute (PROTO, DPT, WINDOW usw.) nicht konstant, was das Parsen mittels '''awk''' erschwert. Die Position von "SRC" sollte aber konstant sein. Folgendes Script liest Logs von iptables und macht eine DNS-Abfrage auf die IP-Adrese, wobei die Adressen "127.0.0.1"" und "192.168.1.253" ausgenommen werden:

#!/bin/sh
for host in $(awk '$12 != "SRC=127.0.0.1" && $12 != "SRC=192.168.1.253" {print $12}' $1 | cut -d'=' -f2); do echo $host $(host -t A $host); done

Wird dieses Script bspw. unter "show_ipt_log" abgespeichert und ausführbar gemacht, so ruft man es wie folgt auf (wenn man als Logpräfix "Webserver" gewählt hat):

grep "'''Webserver'''" /var/log/syslog | show_ipt_log

Das ergibt dann eine Ausgabe in etwa wie folgt:

192.168.1.123 123.1.168.192.in-addr.arpa domain name pointer somehost.greatsoft.local.

Generell ist zu empfehlen, dem Log Daemon mitzuteilen, dass man die Logs von iptables gerne in einer eigenen Datei hätte. Dazu trägt man in der Datei /etc/rsyslog.conf in der Sektion "#### RULES ####" folgendes ein:

:msg, contains, "Webserver" -/var/log/ipt_websrv.log

Die Einstellungen werden nach dem Neustart des Daemons (service rsyslog restart) übernommen.

Diese Datei könnte nun sehr groß werden, daher ist es sehr zu empfehlen, die Log Rotation einzustellen. Dazu erstellt man im Verzeichnis /etc/logrotate.d bspw. eine Datei "ipt_websrv" und schreibt dort folgenden Text hinein:

/var/log/ipt_websrv.log {
rotate 12
monthly
compress
missingok
notifempty
create 644 root root
}

== Blockieren eines Prozesses eines bestimmten Benutzers ==

iptables -A OUTPUT -m owner --uid-owner ''X'' -m state --state NEW -j REJECT

[http://www.heise.de/open/news/foren/S-Re-Schade-dass-man-nicht-auf-den-Namen-mit-Pfad-eines-Prozesses-filtern-kann/forum-273461/msg-24676826/read/ Credits]

[[Kategorie:Linux]]
[[Kategorie:Netzwerk]]

IPTables - Versionsgeschichte

MkWikiDeSysOp: 8 Versionen importiert: Import von michigreat.a.wiki-site.com