duvida IPTABLES (açao + LOG)

ola a todos,
quando eu uso regras do tipo

iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A FORWARD -p icmp -j DROP
iptables -A OUTPUT -p icmp -j ACCEPT

e desejo logar como faco ?

pois tentei assim :

iptables -A FORWARD -p icmp -j DROP -j LOG --log-prefix "LABEL XXX"
e nao funcionou disse que ja existem "j" demais para uma regra

preciso LOGAR regras de DROP e não consigo

iptables versao 1.2.11 CENTOS www.centos.org

Obrigado

Caro Thiagog, faça da seguinte maneira:

iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A FORWARD -p icmp -j LOG --log-prefix "LABEL XXX"
iptables -A FORWARD -p icmp -j DROP
iptables -A OUTPUT -p icmp -j ACCEPT

Nesse caso, você primeiro loga o que vc quer e logo depois bloqueia o acesso. Você pode fazer para qualquer regra.....primeiro loga e depois bloqueia.

Aldrey Ribeiro
Adm. Redes

Citação:

---

Postado originalmente por aldreyribeiro

Nesse caso, você primeiro loga o que vc quer e logo depois bloqueia o acesso. Você pode fazer para qualquer regra.....primeiro loga e depois bloqueia.

---

cara...

não necessariamente vc precisa logar primeiro pra depois dropar...

vc pode muito bem colocar as regras de log no final do script do firewall...

e mesmo q fosse assim, o q ele quer eh logar o q está dropado...
ae primeiro droparia e depois logava...

valew

Mano tem algo estranho ai pq se vc dropou o pacote já era...fiz uns testes aqui (Fedora 4) e não rolou não...tentei 1° dropa e depois pegar o log e como eu já imaginava não deu certo. Motivo: O pacote só ""Lê"" o fw até ele casar com alguma regra q lhe permita prosseguir ou não apartir dai ele para de ler o fw, por isso qndo ele é dropado não tem mas como pegar o log depois. :good: :good: :good: :good: :good: :good:

Abraço

Citação:

---

Postado originalmente por lucianogf

Citação:

---

Postado originalmente por aldreyribeiro

Nesse caso, você primeiro loga o que vc quer e logo depois bloqueia o acesso. Você pode fazer para qualquer regra.....primeiro loga e depois bloqueia.

---

cara...

não necessariamente vc precisa logar primeiro pra depois dropar...

vc pode muito bem colocar as regras de log no final do script do firewall...

e mesmo q fosse assim, o q ele quer eh logar o q está dropado...
ae primeiro droparia e depois logava...

valew

---

Concordo com o Lacier!
Aqui no Slack 10 eh assim tb. Quando ele chega no DROP ele pára pq nao tem mais o que fazer.

Tem que colocar a regra do LOG antes!
Abraço
Fabrício

ok coloquei a regra de log antes e ficou ok :toim:

Se quer registrar um DROP não pode colocar LOG depois de DROP, DROP discarta o pacote... já o LOG registra e continua proximas redas..

Não funciona:
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH Dropado!" <- Nem chega aqui

Funciona:
iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH Dropado!" <- gera o log e passa pra proxima.
iptables -A INPUT -p tcp --dport 22 -j DROP