+ Responder ao Tópico



  1. #1
    bandlinux
    Visitante

    Padrão como utilizar o syslogd.conf

    bom dia!!!
    gostaria de usar o log no firewall com o arquivo syslogd.conf, para gerenciar em tempo real as conexoes e I/O..
    Obrigado pela ajuda!!!!

  2. #2

    Padrão como utilizar o syslogd.conf

    vou te passa uma regra q eu uso pra monitorar as portas mais usadas, como ssh.

    ele joga as informacoes pro arquivo syslog em /var/log

    uso na chain input

    iptables -t filter -A INPUT -p tcp -m tcp --dport 22 --syn -j LOG --log-prefix "FIREWALL:SSH"

    qualquer pessoa q tente acessa o seu ssh sera logado...

    espero ter ajudado, t+



  3. #3
    bandlinux
    Visitante

    Padrão como utilizar o syslogd.conf

    Muito Obrigado pela ajuda!!!
    Mas gostaria também de saber como deixo o mesmo gerando sempre em todas as portas, e em todas as interfaces!!!!

  4. #4
    rovani
    Visitante

    Padrão como utilizar o syslogd.conf

    Eu coloco no final do meu script o seguinte:

    $IPTABLES -A INPUT -i $INTRA -p tcp -j LOG --log-prefix "Servico tcp: "
    $IPTABLES -A INPUT -i $INTRA -p udp -j LOG --log-prefix "Servico udp: "

    onde $INTRA é a interface (eth0,...) que você quer monitorar.

    Então tudo o que não estiver liberado, vai logar. Com poucas modificações você conseguirar o resultado esperado.

    Rovani



  5. #5
    whinston
    Visitante

    Padrão + informação

    voltando ao original da pergunta, alguém sabe como separar os logs do firewall gerado pelo prefix do /var/log/messages e jogar num /var/log/firewall por exemplo ?

  6. #6
    bandlinux
    Visitante

    Padrão como utilizar o syslogd.conf

    Valeu por todas as respostas!!!!!
    Obrigado



  7. #7
    athalimar
    Visitante

    Padrão Meu log parou

    Amigo, aproveitando a deixa. Como faço essa regra para ipchains?

    Grato


    Citação Postado originalmente por Brenno
    vou te passa uma regra q eu uso pra monitorar as portas mais usadas, como ssh.

    ele joga as informacoes pro arquivo syslog em /var/log

    uso na chain input

    iptables -t filter -A INPUT -p tcp -m tcp --dport 22 --syn -j LOG --log-prefix "FIREWALL:SSH"

    qualquer pessoa q tente acessa o seu ssh sera logado...

    espero ter ajudado, t+

  8. #8

    Padrão como utilizar o syslogd.conf

    Citação Postado originalmente por bandlinux
    Muito Obrigado pela ajuda!!!
    Mas gostaria também de saber como deixo o mesmo gerando sempre em todas as portas, e em todas as interfaces!!!!
    iptables -A INPUT -j LOG --log-prefix "Firewall"

    isso ira gerar o log de tentativas de acesso em todas portas, protocolos e interfaces.



  9. #9

    Padrão Re: + informação

    Citação Postado originalmente por whinston
    voltando ao original da pergunta, alguém sabe como separar os logs do firewall gerado pelo prefix do /var/log/messages e jogar num /var/log/firewall por exemplo ?
    utilize a opcao --log-level na regra, ai vc altera o syslog pra gravar num arquivo separado, nao lembro de cabeca oq eh cada level, mas soh dar um man syslog.conf q ele mostra

    por exemplo suponha q o level 1 seja warning

    ai onde tem os warning no syslog.conf vc joga num arquivo separado

    mais um detalhe MUITO IMPORTANTE, UTILIZAR LOG NO FIREWALL SEM opcao --limit ou PIOR AINDA, logando tudo q entra ou sai é pedir pra tomar um DoS na cabeça...........

    imagine algum fdp fazendo 500 requisicoes por segundo no teu server? logo logo o log do fw vai lotar teu disco, suma maquina vai parar, sem contar na memoria q vai estourar de tanto ficar analisando tudo