Aide Linux - Liste de diffusion Ze-Linux hebergée par 
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
RE: [Iptables]Logger un ping
Oui merci,
Il faut logger avant de faire autre chose.
-----Message d'origine-----
De : Golliet Joel [mailto:joel@xxxxxxxxx]
Envoyé : Monday, October 16, 2006 11:04 AM
À : aide-linux@xxxxxxxxxxxxxxxxxx
Objet : Re: [Iptables]Logger un ping
Le 14.10.2006 21:46, linuxbeloc a écrit :
> Bonjour à tous,
>
>
>
> Je voudrais logger les ping entrant sur ma machine.
>
>
>
> #!/bin/bash
>
> echo "Starting Firewall Rules"
>
>
>
> iptables -F
>
>
>
> iptables -P INPUT DROP
>
>
>
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> iptables -A INPUT -p tcp --dport nameserver -m state --state NEW -j ACCEPT
>
> iptables -A INPUT -p udp --dport nameserver -m state --state NEW -j ACCEPT
>
> iptables -A INPUT -p tcp --dport ssh -m state --state NEW -j ACCEPT
>
> *iptables -A INPUT -p icmp --icmp-type echo-request -m state --state NEW
> -j ACCEPT*
>
> iptables -A INPUT -p tcp --dport nameserver -m state --state NEW -j LOG
> --log-prefix="INPUT DNS TCP:"
>
> iptables -A INPUT -p udp --dport nameserver -m state --state NEW -j LOG
> --log-prefix="INPUT DNS UTP:"
>
> iptables -A INPUT -p tcp --dport ssh -m state --state NEW -j LOG
> --log-prefix="INPUT SSH TCP:"
>
> *iptables -A INPUT -p icmp --icmp-type echo-request -m state --state NEW
> -j LOG --log-prefix="INPUT ICMP ECHO REQUEST:"*
>
> Si je commente la ligne iptables -A INPUT -p icmp --icmp-type
> echo-request -m state --state NEW -j ACCEPT, les log s?affichent sinon
> non !!!!
>
> Quelqu?un sait t?il pourquoi ?
En fonctionnement "normal", tu as ces 2 séries de commandes "activées"
(non commentées) ?
Si un paquet "matche" (correspond) à une règle de filtrage, il sort de
la chaine en cours (INPUT ici) => normal que tu ne passes pas sur la
2eme qui te loggue les actions.
Si tu veux logguer + accepter des paquets, tu dois définir une chaîne
dans laquelle tu vas faire log+accept et appliquer cette chaîne
fabriquée sur des paquets en fonction de ce que tu veux matcher.
Ex pour reprendre 1 de tes exemples (autoriser + logguer les paquets
ICMP) j'ai pas testé mais ça doit être ça :
iptables -N LOG_INPUT_ICMP_ACCEPT
iptables -A LOG_INPUT_ICMP_ACCEPT -j LOG --log-prefix ?[INPUT ICMP ECHO
REQUEST] : ?
iptables -A LOG_INPUT_ICMP_ACCEPT -j ACCEPT
Et tu appliques ensuite la règle "LOG_INPUT_ICMP_ACCEPT
" à ce que tu matches :
Ex :
iptables -A INPUT -p icmp --icmp-type echo-request -m state --state NEW
-j LOG_INPUT_ICMP_ACCEPT
> Merci d?avance,
Voir http://www.bashprofile.net/article.php3?id_article=111 par ex pour
c'est utilisé + généralement pour logguer tout ce qui est accepté ou refusé.
--
Joel GOLLIET Centre de Ressources Informatiques 74
Bât le Salève, Site d'Archamps, 74160 ARCHAMPS
Tél:04.50.31.56.30 Fax:04.50.95.38.17
http://www.cri74.org
----------------------------------
Informations, dsabonnement, rgles, obligations sur la liste Aide-Linux :
http://lists.ze-linux.org/howto_ml.html
Liste Herbergee par Over-Link [http://www.over-link.net]
----------------------------------
Annonces immobilieres, auto, moto ... http://www.uneannonce.fr
----------------------------------
Informations, désabonnement, règles, obligations sur la liste Aide-Linux :
http://lists.ze-linux.org/howto_ml.html
Liste Herbergee par Over-Link [http://www.over-link.net]
----------------------------------
Annonces immobilieres, auto, moto ... http://www.uneannonce.fr
Aide Linux - Liste de diffusion Ze-Linux hebergée par