logovani paketu

Petr ©obáň soban na centrum.cz
Čtvrtek Červen 10 15:14:37 CEST 2004 

Houmles napsal(a):
> caj,
> loguji na masine synpakety a mam problem ze mi ta potvora "nektere"
> ignoruje.
> 
> iptables:
> 
> poblijon:~# iptables -L -nv
> Chain INPUT (policy ACCEPT 478K packets, 57M bytes)
>  pkts bytes target     prot opt in     out     source
> destination
>     0     0 REJECT     udp  --  *      *       0.0.0.0/0
> 0.0.0.0/0          udp dpt:139 reject-with icmp-port-unreachable
>   135 10530 REJECT     udp  --  *      *       0.0.0.0/0
> 0.0.0.0/0          udp dpt:137 reject-with icmp-port-unreachable
>     9  5095 REJECT     udp  --  *      *       0.0.0.0/0
> 0.0.0.0/0          udp dpt:135 reject-with icmp-port-unreachable
>  2667  128K REJECT     tcp  --  *      *       0.0.0.0/0
> 0.0.0.0/0          tcp dpt:445 reject-with icmp-port-unreachable
>   133  6452 REJECT     tcp  --  *      *       0.0.0.0/0
> 0.0.0.0/0          tcp dpt:139 reject-with icmp-port-unreachable
>     0     0 REJECT     tcp  --  *      *       0.0.0.0/0
> 0.0.0.0/0          tcp dpt:137 reject-with icmp-port-unreachable
>  1591 76520 REJECT     tcp  --  *      *       0.0.0.0/0
> 0.0.0.0/0          tcp dpt:135 reject-with icmp-port-unreachable
>  6503  322K LOG        tcp  --  *      *       0.0.0.0/0
> 0.0.0.0/0          tcp flags:0x16/0x02 LOG flags 0 level 4 prefix `PACKET:
> '
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> (rejecty pred jsou tam z duvody abych "vykopal" virove/wormove synpakety)
> 
> syslogng:
> 
> destination packet { file("/var/log/packet.log" owner("root") group("adm")
> perm(0640)); };
> filter f_iptables { facility(kern) and match(PACKET:); };
> log { source(src); filter(f_iptables); destination(packet); };
> 
> a nasledne ve /var/log/packet.log dostavam krasny vypis:
> 

> --------
> 
> ALE: zkousel jsem si telnetit na ruzne porty manualne, a zadny synpaket mi
> do logu neprosel! mam takovy neurcity pocit, ze kernel svindluje jelkoz
> pakety nejsou ani v dmesg :-(
> nejaky napad?
> dik
>    hmls

Nepovolí nějaké pravidlo průchod toho paketu před logováním?
Prostě musel by jte asi poslat kompletní pravidla která jsou na INPUTu.

Případně neprochazí to přes řetězec FORWARD pokud to máte jako router 
atd.....

Případně nemusí stíhat PC potom nevím jak se to bude chovat.


-- 

/----------------------------------------\
|            Petr ©obáň                  |
|            Olomouc                     |
|----------------------------------------|
|    ICQ    179223500                    |
\----------------------------------------/

Daląí informace o konferenci Linux