BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

Duda con Iptables2

heze54

Buenas,

He creado varias reglas para iptables y me funcionan perfectamente.

He aqui un ejemplo

-A INPUT -s 10.104.100.0/255.255.255.0 -i eth1 -j DROP
-A INPUT -s 10.102.100.0/255.255.255.0 -i eth1 -j DROP

La cuestion es que quiero logear los intentos que prohiben estas reglas y los guarden en un fichero

-A INPUT -s 10.104.100.0/255.255.255.0 -i eth1 -j LOG
-A INPUT -s 10.102.100.0/255.255.255.0 -i eth1 -j LOG

He probado con esas sentencias para que guarden en /var/log/iptables.log, pero el fichero esta a 0

¿A que puede ser debido?

Un saludo

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
terminus77

¿Las reglas de LOG no deberian ir antes de las de DROP?

Me explico, si has añadido primero las reglas de DROP cuando llega a esa regla, la cumple y deja de comprobar el resto de reglas.

Deberias poner primero las reglas de LOG para que escriba en el fichero y luego las de DROP para que elimine el paquete. Las reglas de LOG no son terminales, o sea que continua leyendo por la siguiente regla.

Pridebowl

Aparte de lo comentado por el compañero.

Te aconsejo que uses ulog, que es para logear el iptables con mysql y tiene un frontend muy bonico en php.

La cuestión de restricciones en iptables es jodido, todavia recuerdo el gusto de tratar con ipf, pa mi gusto claro, y ver como el orden de las restricciones no era mandatorio sino que importaba el orden, la ultima que cumpliera la restricción es la que se aplicaba y para ello habia las reglas iban compiladas sino recuerdo mal.

Muy buen sabor de boca me dejo el ipf, la verdad, claridad en las reglas, eficacia con dos cojones, muy versatil ... El unico problemilla que le encontre fue al intentar procesar rangos de ips/puertos, que no habia forma tan facil como en iptables.

Bueno, y en el caso que quieras que vaya a ese fichero debes de establecer correctamente la priority, que a veces no estan bien metidas y se lo calla todo. :D

En fin, todo esto no lo toco desde hace ya 3 años pero no creo que haya avanzado gran cosa. :D

Un saludo