+ Responder ao Tópico



  1. #1
    giuliano
    Visitante

    Padrão Log na tela

    Olá galera estou com uma duvida, montei um script de firewall ele está funcionando perfeito mais o log que ele está gerando, ele está jogando na tela por que eu coloquei uma regra para o que ele bloquear ele gerar um log so que agora num consigo tirar esse log da tela e fica atrapalhando.
    as regras são:

    # Faz Log do que sobrou.[size=9px]
    iptables -A INPUT -j LOG --log-prefix "ENTRADA: "
    iptables -A OUTPUT -j LOG --log-prefix "SAIDA: "
    iptables -A FORWARD -i $IF_INT -o $IF_EXT -j LOG --log-prefix "Lan-->Mundo: "
    iptables -A FORWARD -s $REDE_INT -i $IF_INT -o $IF_EXT -j LOG --log-prefix "Lan-->Mundo: "
    [/size]

    Grato, Giuliano
    Aguardo uma resposta.

  2. #2
    Spelk
    Visitante

    Padrão Log na tela

    Edite o syslog.conf fica no /etc nos Red Hat e Fedora Core.
    Adicione a seguinte linha:

    Código :
    *.=debug            /var/log/netfilter #aqui pode ser colocado o
    #caminho q quiser e o arquivo que vc quer gerar

    Edite as suas regras do firewall e acrescente no fim:

    Código :
    iptables -A INPUT -j LOG --log-prefix "ENTRADA: " --log-level 7
    iptables -A OUTPUT -j LOG --log-prefix "SAIDA: " --log-level 7
    iptables -A FORWARD -i $IF_INT -o $IF_EXT -j LOG --log-prefix "Lan-->Mundo: " --log-level 7
    iptables -A FORWARD -s $REDE_INT -i $IF_INT -o $IF_EXT -j LOG --log-prefix "Lan-->Mundo: " --log-level 7
    Rode novamente o script e boa!!! ;-)



  3. #3

    Padrão Log na tela

    e num eskeca de reiniciar o syslogd

  4. #4
    Spelk
    Visitante

    Padrão Log na tela

    Citação Postado originalmente por 1c3_m4n
    e num eskeca de reiniciar o syslogd
    Ops!! ops:

    Havia esquecido disso, valeu 1c3.



  5. #5
    4ndr3
    Visitante

    Padrão Log na tela

    Sem precisar de alterar o syslog.conf vc pode colocar na regra do LOG

    --log-level 6

    ou

    --log-level info

  6. #6
    giuliano
    Visitante

    Padrão Log na tela

    Valeu galera solucionei colocando --log-level 6
    Grato, Giuliano.



  7. #7
    guardian_metal
    Visitante

    Padrão Log na tela

    Não sei muito bem iptables mas eu poderia pegar essas linhas:

    # Faz Log do que sobrou.
    iptables -A INPUT -j LOG --log-prefix "ENTRADA: "
    iptables -A OUTPUT -j LOG --log-prefix "SAIDA: "
    iptables -A FORWARD -i $IF_INT -o $IF_EXT -j LOG --log-prefix "Lan-->Mundo: "
    iptables -A FORWARD -s $REDE_INT -i $IF_INT -o $IF_EXT -j LOG --log-prefix "Lan-->Mundo: "


    E colocar no fim do meu script do iptables? Se sim, onde coloco esse --log-level 6? e onde o arquivo vai ser salvo e com qual nome?

  8. #8
    Spelk
    Visitante

    Padrão Log na tela

    guardian_metal,

    Na verdade vc teria que colocar essas regras antes das entradas que vc quer logar, tudo que viar antes delas (no arquivo) não estarão sendo logadas.

    O --log-level 6 deve ser colocado ao final de cada regra de log ex.:

    iptables -A INPUT -j LOG --log-prefix "ENTRADA: " --log-level 6
    iptables -A OUTPUT -j LOG --log-prefix "SAIDA: " --log-level 6

    O arquivo pode ser salvo em qq lugar, porém tem q ser dada a ele permissão de execusão, pois é um script.

    Na primeira msg q postei nesse tópico, falei sobre alterar o syslog.conf, pois por padrão (pelo menos nos Red Hat e Fedora) esses logs irão para o messages e ficarão misturados com outros tipos de log.

    Já fazendo como sugeri, isso não acontecerá.



  9. #9
    guardian_metal
    Visitante

    Padrão Log na tela

    Abaixo são minhas regras, para logar tudo o que do mundo e colocar num arquivo chamado mundoexterno, o que devo fazer?

    #Start Serv
    #Escript de Firewall e Roteamento de portas
    #
    #Apaga Regras pre Definidas
    iptables -F
    iptables -t nat -F
    #
    #APAGANDO REGRAS
    iptables -F INPUT
    iptables -F FORWARD
    iptables -F OUTPUT
    iptables -X
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A FORWARD -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT
    #
    #adicionando modulos
    modprobe ip_conntrack
    modprobe ipt_MASQUERADE
    modprobe ipt_LOG
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe iptable_filter
    #
    #Abilita o Roteamento de Kernel
    echo 1 > /proc/sys/net/ipv4/ip_forward
    #
    #Abilita (NAT) Para converter ip 192.168.1.x para 200.x.x.x
    iptables -t nat -A POSTROUTING -s 192.168.172.0/24 -o eth0 -j SNAT --to 200.x.x.x
    #
    #Redireciona Todas as portas para a 8080 (http) (Squid)
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to 8080
    #
    iptables -t nat -A POSTROUTING -s 192.168.172.0/24 -o eth0 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s 192.168.172.0/24 -o eth1 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    #
    #-------------------- CONTROLA TODAS AS INPUT NO SERVIDOR ---------------------
    #
    #Libera as portas para entrada no servidor
    #
    iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 53 -j ACCEPT
    iptables -A INPUT -p udp -s 192.168.172.0/24 --dport 53 -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 8080 -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 25 -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 110 -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 137:139 -j ACCEPT
    iptables -A INPUT -p udp -s 192.168.172.0/24 --dport 137:139 -j ACCEPT
    #Mantem a conexao das portas liberada acima
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    #--------------------- CONTROLA TODOS OS FORWARD NO SERVIDOR ------------------
    #
    #libera as portas para passar pelo servidor e ter acesso externo
    iptables -A FORWARD -s 192.168.172.0/24 -i eth0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 192.168.172.0/24 --dport 25 -j ACCEPT
    iptables -A FORWARD -p tcp -s 192.168.172.0/24 --dport 110 -j ACCEPT
    iptables -A FORWARD -p tcp -s 192.168.172.0/24 --dport 80 -j ACCEPT
    #Mantem a conexao das portas acima liberada
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

  10. #10

    Padrão Log na tela

    n é isso!. ele quer que os logs vao pro console

    no syslog.conf em vez de jogar os logs pra /var/log/netfilter, ou como tem á.. basta vc jogar pra /dev/console e tá feito, log em tempo real no monitor



  11. #11
    Felipe_
    Visitante

    Padrão Log na tela

    ae pessoal... criei uma regra aqui para ninguem entrar na minha maquina por ssh....
    só que quando reinicio o pc... ai dou o comando iptables -L a regra nao esta mais la...
    onde tenho que salvar isso????
    valeu!

  12. #12
    lss
    Visitante

    Padrão Log na tela

    edita o arquivo /etc/rc.d/rc.local e coloque suas regras la.

    ou faça um touch /etc/rc.d/rc.regras
    edite o rc.regras e coloque suas regras lah : iptables -F ... etc

    depois dê permissao de execucao chmod +x rc.regras
    apos isso edite o rc.local e coloque lah /etc/rc.d/rc.regras.
    soh