Sortie iptables [Résolu]

[troumad]

Bonjour

Sous debian mon iptables envoie ses sorties sur les tty !
Ceci ne vient pas de syslog car, même lorsque je l'arrête, les tty sont poluées. La polution stope dès que j'arrêté mon firewall, mais je n'y tiens pas trop !

[Olivier Regnier]

Bonjour

Comment se fait-il que tu n'es pas un fichier de log /var/log/iptables.log ?

Tu devrais regarder ton fichier syslog.conf dans /etc/ et ajouter la ligne suivante:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

kern.=info /var/log/iptables

++

[Rhineauféros]

je pense que syslog est démarré automatiquement quand iptables en a besoin (essaie de renommer l'exécutable syslog après avoir arrêté le service, pour voir si les messages continuent)

ensuite, si tu ne veux pas recevoir les messages sur la console active, tu peux ajouter l'option : --log-level debug (les messages seront toujours écrits dans /var/log/syslog) mais plus sur la console ni dans /var/log/messages

[troumad]

J'ai la ligne suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

kern.*                          -/var/log/kern.log

C'est tout ce qui a kern !
En plus, je retrouve les infos qui polluent mon écran ! Et elles arrivent vite :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
[root@serveur][~]# ll /var/log/kern.*
-rw-r----- 1 root adm 5204169 2006-09-23 16:11 /var/log/kern.log
-rw-r----- 1 root adm 1401331 2006-09-19 06:25 /var/log/kern.log.0
-rw-r----- 1 root adm   79962 2006-09-17 06:24 /var/log/kern.log.1.gz
-rw-r----- 1 root adm   38792 2006-09-14 06:25 /var/log/kern.log.2.gz
-rw-r----- 1 root adm   38179 2006-09-12 06:24 /var/log/kern.log.3.gz
-rw-r----- 1 root adm   19864 2006-09-10 06:46 /var/log/kern.log.4.gz
-rw-r----- 1 root adm   38757 2006-09-09 06:25 /var/log/kern.log.5.gz
-rw-r----- 1 root adm   57857 2006-09-07 06:24 /var/log/kern.log.6.gz

Je n'ai pas l'impression que syslogd reparte dès que iptables en a besoin car si je tue le demon, il n'apparait plus dans un ps uwx alors que les messages arrivent toujours sur la console. La suppression de syslog (mv /sbin/syslogd /sbin/syslogd.cp) ne change rien.

L'option -log-level debug je la met où ?

[Rhineauféros]

Citation:

L'option -log-level debug je la met où ?

si tu as des messages, c'est parce que ton script iptables doit contenir une ou plusieurs lignes du syle :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A INPUT -j LOG --log-prefix "Pare-feu:"

il suffit que tu écrives

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A INPUT -j LOG --log-level debug --log-prefix "Pare-feu:"

[troumad]

J'ai la ligne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$ipt -A INPUT -j LOG

J'avoue que je n'avais pas vu que j'avais pomper une telle ligne que je ne maîtrise pas du tout !
L'armature de mon script est dansmon fichier http://troumad.info/Linux/Linux.odt

Donc, ce que tu indiques, ça sert à quoi, on interviens comment dessus ?

attention : tes paroles seront sur mon fichier et livrées à la pature de tous mes lecteurs !

[Rhineauféros]

La ligne que tu cites veut dire : "tous les paquets pour lesquels aucune des règles précédentes ne s'applique doivent être journalisés"

$ipt --> c'est la commande iptables
-A INPUT --> ça veut dire "ajouter une règle pour la chaîne INPUT" (càd pour les paquets entrants)
-j LOG --> ça veut dire "journaliser les paquets"

tape

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

man iptables

et tu verras les différentes options disponibles

notamment tu peux ajouter :

--log-prefix toto --> ça ajoute le préfixe "toto" aux messages envoyés aux journaux (comme ça tu peux les récupérer à l'aide d'un grep par exemple)

--log-level --> ça définit l'urgence de l'alerte, donc les endroits où il faut l'écrire (journaux syslog, messages, consoles, etc. etc.)

Donc par exemple tu peux remplacer ta ligne par :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$ipt -A INPUT -j LOG --log-prefix "IPTABLES" --log-level debug

et voir si ça marche comme tu veux

--édité pour compléter

[troumad]

OK...
Ceci dit, mon PC sous debian vient de se voir privé et pour longtemps d'écran : c'est mon serveur et il est loin de tout écran.

Je vois donc arriver les messages dans /var/log/debug. Cette redirection est due aussi à la ligne suivante de /etc/syslog.conf

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
*.=debug;\
        auth,authpriv.none;\
        news.none;mail.none     -/var/log/debug

Mais, il y a aussi laligne suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

kern.*                         -/var/log/kern.log

qui innonde aussi le fichier -/var/log/kern.log

Si je veux que ça arrive dans /var/log/iptables et que ce fichier ne contienne que ça, que dois-je faire ?

Les man, j'ai déjà parcouru, et j'arrive devant

Citation:

Envoyé par "man syslog.conf

La priorité est l'un des mots-clés suivants, dans l'ordre croissant :
debug, info, notice, warning, warn (identique à warning), err, error
(identique à err), crit, alert, emerg, panic (identique à emerg). Les
mots-clés error, warn et panic sont désapprouvés et ne devraient plus
être utilisés. La priorité définit la sévérité du message.

Donc, ce n'est pas avec le log-level que je vais faire le tri !

[Olivier Regnier]

Il existe une solution pour séparer ces fameux messages. Pour cela il faut utiliser ulog. Il faut vérifier que ulog est disponible dans ton noyau. Pour charger ce module, tu saisis la commande suivante:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

modprobe ulog

As-tu ulog sur ton système ?

++

[troumad]

Je ne l'ai pas !
Je trouve fprobe-ulog et ulogd. Lequel installer ?

J'ai trouvé http://olivieraj.free.fr/fr/linux/in.../fw-03-09.html que je vais essayer de lire !

[Rhineauféros]

ok

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

apt-get install ulogd

puis remplacer les -j LOG par des -j ULOG
et les --log-prefix par des --ulog-prefix, etc.

et les messages se trouveront dans /var/log/ulog/syslogemu.log

[troumad]

ulog est juste un second système de log afin de mieux trier ?
C'est tout alors !

Pour le moment, je n'ai pas le temps de me pencher sur la question, j'ai du travail à faire !

[Rhineauféros]

oui c'est un démon de journalisation spécialisé pour netfilter/iptables

[troumad]

Je ne trouve pas l'emplacement du fichier de configuration de ulog !

[troumad]

Je viens de voir que le problème vient peut-être d'une de mes manipulations :
1) installation de ulogd
2) désinstallation de ulogd
3) suppression de /etc/ulogd.conf
4) installation de ulogd

Bilan : plus de /etc/ulogd.conf et je ne vois pas comment le remettre !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
 
[root@serveur][~]# apt-get install ulogd
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances... Fait
Paquets suggérés :
  ulogd-mysql ulogd-pgsql ulogd-pcap ulogd-sqlite3
Les NOUVEAUX paquets suivants seront installés :
  ulogd
0 mis à jour, 1 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de prendre 98,3ko dans les archives.
Après dépaquetage, 229ko d'espace disque supplémentaires seront utilisés.
Réception de : 1 ftp://ftp.debian.org etch/main ulogd 1.23-5+b1 [98,3kB]
98,3ko réceptionnés en 3s (27,0ko/s)
Préconfiguration des paquets...
Sélection du paquet ulogd précédemment désélectionné.
(Lecture de la base de données... 49314 fichiers et répertoires déjà installés.)
Dépaquetage de ulogd (à partir de .../ulogd_1.23-5+b1_i386.deb) ...
Paramétrage de ulogd (1.23-5+b1) ...
Starting netfilter userspace log daemon: invoke-rc.d: initscript ulogd, action "start" failed.
 
[root@serveur][~]# dpkg-reconfigure ulogd
Stopping netfilter userspace log daemon: ulogd.
Starting netfilter userspace log daemon: invoke-rc.d: initscript ulogd, action "start" failed.

Dur-dur de ce mettre à debian !

[Rhineauféros]

essaie

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
apt-get clean
apt-get --purge remove ulogd
apt-get check
apt-get install ulogd

[troumad]

On m'a donné le fichier de config d'une ubuntu et ça marche !

Par contrre, je vais récupérer ton code de nettoyage !