logger l'activitée icmp sur une interface avec iptable
3 réponses
rantamplan
Salut,
Sur un firewall iptable, un serveur en DMZ natée devient inaccessible
depuis le net pendant un certain temps tous les jours entre midi et deux
(heure de début et de fin variable).
La machine est toujours accessible depuis le lan, elle sort sur
internet, mais quand les paquets arrivent sur son adresse IP depuis
l'internet, ils semblent droppés. Un traceroute montre que les paquets
n'arrivent qu'au routeur supérieur et après, on n'a que des étoiles.
Toutes les autres ip publiques sont accessibles dans le même temps, et
internet entre bien sur le lan.
Je voudrais donc logger ce qui est autorisé ou refusé sur cette adresse
IP, pour voir si c'est iptable qui déconne grave et refuse mes paquets
ou pour voir si c'est le FAI qui a un problème de routage chronique et
son routeur qui régulièrement ne sait plus quoi faire des paquets
adressés à cette adresse. Je veux donc voir si les paquets arrivent sur
cette adresse ou s'ils sont éjectés par le routeur colt. Cependant, vu
l'activité importante de ce firewall, je ne veux pas logger ce qui
arrive pour les autres adresses IP (6 adresse publiques, quand même).
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Eric Lalitte
"rantamplan" wrote in message news:dus1ai$f7$
C'est possible?
La cible LOG d'iptables est indépendante du filtrage, donc tu peux faire toutes les règles de filtrage que tu veux, et toutes les règles de log que tu veux, la seule chose qui importera sera l'ordre des règles. Si tu filtres avant de logger, tu ne verras pas les paquets. Par contre la cible LOG ne provoque pas l'arrêt du parcours des règles.
Donc tu peux mettre dans ton ruleset à plusieurs endroits une règle qui log si l'adresse IP destination ou source est unetelle.
iptables -A INPUT -s x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA REGLE XXX' iptables -A INPUT -d x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA REGLE XXX' iptables -A OUTPUT -s x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA REGLE XXX' iptables -A OUTPUT -d x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA REGLE XXX'
Y a sûrement mieux, mais bon...
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"rantamplan" <rantamplan@seldon.dyndns.org> wrote in message
news:dus1ai$f7$1@reader1.imaginet.fr
C'est possible?
La cible LOG d'iptables est indépendante du filtrage, donc tu peux
faire toutes les règles de filtrage que tu veux, et toutes les règles de
log que tu veux, la seule chose qui importera sera l'ordre des règles.
Si tu filtres avant de logger, tu ne verras pas les paquets. Par contre
la cible LOG ne provoque pas l'arrêt du parcours des règles.
Donc tu peux mettre dans ton ruleset à plusieurs endroits une règle
qui log si l'adresse IP destination ou source est unetelle.
iptables -A INPUT -s x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA
REGLE XXX'
iptables -A INPUT -d x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA
REGLE XXX'
iptables -A OUTPUT -s x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA
REGLE XXX'
iptables -A OUTPUT -d x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA
REGLE XXX'
Y a sûrement mieux, mais bon...
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
La cible LOG d'iptables est indépendante du filtrage, donc tu peux faire toutes les règles de filtrage que tu veux, et toutes les règles de log que tu veux, la seule chose qui importera sera l'ordre des règles. Si tu filtres avant de logger, tu ne verras pas les paquets. Par contre la cible LOG ne provoque pas l'arrêt du parcours des règles.
Donc tu peux mettre dans ton ruleset à plusieurs endroits une règle qui log si l'adresse IP destination ou source est unetelle.
iptables -A INPUT -s x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA REGLE XXX' iptables -A INPUT -d x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA REGLE XXX' iptables -A OUTPUT -s x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA REGLE XXX' iptables -A OUTPUT -d x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA REGLE XXX'
Y a sûrement mieux, mais bon...
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
rantamplan
Eric Lalitte wrote:
"rantamplan" wrote in message news:dus1ai$f7$
C'est possible?
La cible LOG d'iptables est indépendante du filtrage, donc tu peux faire toutes les règles de filtrage que tu veux, et toutes les règles de log que tu veux, la seule chose qui importera sera l'ordre des règles. Si tu filtres avant de logger, tu ne verras pas les paquets. Par contre la cible LOG ne provoque pas l'arrêt du parcours des règles.
Donc tu peux mettre dans ton ruleset à plusieurs endroits une règle qui log si l'adresse IP destination ou source est unetelle.
iptables -A INPUT -s x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA REGLE XXX' iptables -A INPUT -d x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA REGLE XXX' iptables -A OUTPUT -s x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA REGLE XXX' iptables -A OUTPUT -d x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA REGLE XXX'
Y a sûrement mieux, mais bon...
Ca marche bien! merci :-)
Eric Lalitte wrote:
"rantamplan" <rantamplan@seldon.dyndns.org> wrote in message
news:dus1ai$f7$1@reader1.imaginet.fr
C'est possible?
La cible LOG d'iptables est indépendante du filtrage, donc tu peux
faire toutes les règles de filtrage que tu veux, et toutes les règles de
log que tu veux, la seule chose qui importera sera l'ordre des règles.
Si tu filtres avant de logger, tu ne verras pas les paquets. Par contre
la cible LOG ne provoque pas l'arrêt du parcours des règles.
Donc tu peux mettre dans ton ruleset à plusieurs endroits une règle
qui log si l'adresse IP destination ou source est unetelle.
iptables -A INPUT -s x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA
REGLE XXX'
iptables -A INPUT -d x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA
REGLE XXX'
iptables -A OUTPUT -s x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA
REGLE XXX'
iptables -A OUTPUT -d x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA
REGLE XXX'
La cible LOG d'iptables est indépendante du filtrage, donc tu peux faire toutes les règles de filtrage que tu veux, et toutes les règles de log que tu veux, la seule chose qui importera sera l'ordre des règles. Si tu filtres avant de logger, tu ne verras pas les paquets. Par contre la cible LOG ne provoque pas l'arrêt du parcours des règles.
Donc tu peux mettre dans ton ruleset à plusieurs endroits une règle qui log si l'adresse IP destination ou source est unetelle.
iptables -A INPUT -s x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA REGLE XXX' iptables -A INPUT -d x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA REGLE XXX' iptables -A OUTPUT -s x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA REGLE XXX' iptables -A OUTPUT -d x.x.x.x -j LOG --log-prefix 'CA PASSE AVANT LA REGLE XXX'
Y a sûrement mieux, mais bon...
Ca marche bien! merci :-)
octane
Cependant, vu l'activité importante de ce firewall, je ne veux pas logger ce qui arrive pour les autres adresses IP (6 adresse publiques, quand même).
C'est possible?
iptables -I INPUT 1 -i ethn -p tcp --dport 23365 -j LOG --log-prefix "un paquet est passe par la"
et depuis internet, un nc <ip du serveur> 23365 tu verras si les paquets arrivent, ou si c'est ton FAI qui les bloque.
Cependant, vu
l'activité importante de ce firewall, je ne veux pas
logger ce qui arrive pour les autres adresses IP (6 adresse
publiques, quand même).
C'est possible?
iptables -I INPUT 1 -i ethn -p tcp --dport 23365 -j LOG --log-prefix
"un
paquet est passe par la"
et depuis internet, un nc <ip du serveur> 23365
tu verras si les paquets arrivent, ou si c'est ton FAI qui les bloque.
