Reti locali
 

Iptables e log

BIG Umberto 8 Gen 2017 22:30
Nel router ho queste regole (1.2.3.4 é il mio ip pubblico lato wan):

Chain INPUT (policy DROP)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp
flags:!0x16/0x02
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED
LOG all -- 0.0.0.0/0 1.2.3.4 state NEW LOG flags
0 level 4 prefix `[Incoming]'
INPUT_UDP udp -- 0.0.0.0/0 0.0.0.0/0
INPUT_TCP tcp -- 0.0.0.0/0 0.0.0.0/0
DOS icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW

Chain FORWARD (policy DROP)
target prot opt source destination
LOG udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1701 LOG
flags 0 level 4 prefix `[Firewall Log-L2tpPass Fail]'
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1701
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723 LOG
flags 0 level 4 prefix `[Firewall Log-PptpPass Fail]'
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723
LOG udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:500 LOG
flags 0 level 4 prefix `[Firewall Log-IPSecPass Fail]'
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:500
LOG all -- 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags
0 level 4 prefix `[Outgoing]'
LOG all -- 0.0.0.0/0 0.0.0.0/0 state NEW LOG flags
0 level 4 prefix `[Incoming]'
POLICY icmp -- 0.0.0.0/0 0.0.0.0/0
POLICY udp -- 0.0.0.0/0 0.0.0.0/0
TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02
TCPMSS clamp to PMTU
POLICY tcp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
DROP icmp -- 0.0.0.0/0 0.0.0.0/0 state INVALID
..........

Volevo bloccare gli accessi alla udp 1900 a livello di entrata del router, ma
lasciando un messaggio nel mio log.

Ho aggiunto, come regola 3 e 4 in INPUT:

iptables -I INPUT 3 -p UDP --dport 1900 -j DROP
iptables -I INPUT 3 -p UDP --dport 1900 -j LOG --log-level
4 --log-prefix "[Incoming-UPnP 1900]"





Cosí la catena INPUT é diventata:

Chain INPUT (policy DROP)
target prot opt source destination
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp
flags:!0x16/0x02
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED

LOG udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1900 LOG
flags 0 level 4 prefix `[Incoming-UPnP 1900]'
DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1900

LOG all -- 0.0.0.0/0 1.2.3.4 state NEW LOG flags
0 level 4 prefix `[Incoming]'
INPUT_UDP udp -- 0.0.0.0/0 0.0.0.0/0
INPUT_TCP tcp -- 0.0.0.0/0 0.0.0.0/0
DOS icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW

I pacchetti, mi sembra siano bloccati, ma non vedo il log.
Dove sbaglio?

NOTA: Le doppie virgolette dei commenti sono corrette; é solo un problema di
visualizzazione!!!

--
+---------------------------------------------------------------------------+
|I puristi ritengono inopportuno utilizzare driver proprietari sutto Linux, |
|i masochisti amano utilizzare driver Windows sotto Linux... Twisted Evil |
+-----#19--------------------Campagna contro le pubblicita` i*****te.---------+
writethem 10 Gen 2017 13:03
>
> iptables -I INPUT 3 -p UDP --dport 1900 -j DROP
> iptables -I INPUT 3 -p UDP --dport 1900 -j LOG --log-level
> 4 --log-prefix "[Incoming-UPnP 1900]"

IPTables esegue una coda FIFO, ergo alla regola seconda potresti non
arrivarci. Di fatto, anche inserendo la posizione 3 per entrambi, quella
inserita per ultima scala.


Non sono un esperto di iptables, ma un iptables -S che ti da? Che
ordine, intendo.
BIG Umberto 10 Gen 2017 19:16
writethem in data 13:03, martedì 10 gennaio 2017, nel gruppo
it.comp.reti.locali ha scritto:

>
>>
>> iptables -I INPUT 3 -p UDP --dport 1900 -j DROP
>> iptables -I INPUT 3 -p UDP --dport 1900 -j LOG --log-level
>> 4 --log-prefix "[Incoming-UPnP 1900]"
>
> IPTables esegue una coda FIFO, ergo alla regola seconda potresti non
> arrivarci. Di fatto, anche inserendo la posizione 3 per entrambi, quella
> inserita per ultima scala.

Mettendo alla stessa posizione una regola, quella _precedente_ scala, per
questo che con INSERT le ho inserite invertite, in modo da avere prima il log,
poi il drop.
Il comando INSERT, messo senza posizione (che implica la prima) per esempio, fa
scalare in giú le regole precedenti.
Infatti, nella parte successiva del post, ho visualizzato la porzione di quelle
regole con iptables -L -n.
Ed infatti, vedo prima il log poi il drop, e cosí deve essere in quanto il log
implica il ritorno all'eleborazione regole, mentre il drop provoca l'uscita
delle *****isi, almeno questo é quello che mi dissero anni fa in una lezione
sui firewall...

> Non sono un esperto di iptables, ma un iptables -S che ti da? Che
> ordine, intendo.

Il comando iptables -S non é supportato, e neppure iptables-save...
Posso solo dare iptables -L -n che, sebbene in formato leggermente diverso,
visualizza le stesse cose.

Un dubbio poteva essere che i log non li vedo direttamente dal router, ma
tramite rsyslog in un pc in rete (il router dopo l'avvio, non é piú
accessibile
in alcun modo).
Ma gli altri messaggi, quelli di Incoming, Outgoing, eccetera, generati sempre
dal firewall del router, li vedo (su un ******* specificato da una regola fatta
anni fa in /etc/rsyslog.d/ e che abbina ip sorgente al *******
corrispondente)...


--
+---------------------------------------------------------------------------+
| ... e come dissero Gargantua e Pantagruel al termine di un lauto pranzo: |
| Anche oggi abbiamo contribuito a ridurre la fame nel mondo... |
+-----#26--------------------Campagna contro le pubblicita` i*****te.---------+
BIG Umberto 10 Gen 2017 21:47
BIG Umberto in data 19:16, martedì 10 gennaio 2017, nel gruppo
it.comp.reti.locali ha scritto:

> Un dubbio poteva essere che i log non li vedo direttamente dal router, ma
> tramite rsyslog in un pc in rete (il router dopo l'avvio, non é piú
> accessibile in alcun modo).
> Ma gli altri messaggi, quelli di Incoming, Outgoing, eccetera, generati
> sempre dal firewall del router, li vedo (su un ******* specificato da una
regola
> fatta anni fa in /etc/rsyslog.d/ e che abbina ip sorgente al ******* >
corrispondente)...

Ed é qui la *****ata!
Il router non invia TUTTI i log, ma solo quelli legati a specifiche parole
chiave!
Nella configurazione del firewall (del router) ci sono parecchi commenti, ma ne
invia sulla 514 di rsyslog solo alcuni!
L'ho scoperto, riavviando il router e spulciando nelle varie directory, ed ho
trovato un syslog.conf (ovviamente in /etc e dove se no?) che termina con:

"log_keyword=[System Log] [Access Log-Deny Access] [Access Log-Block URL]
[Access Log-Block Keyword] [Access Log-Block Services] [Firewall Log-IPSecPas
s Fail] [Firewall Log-PptpPass Fail] [Firewall Log-L2tpPass Fail] [Firewall
Log-DOS] [Firewall Log-PORT SCAN] [Firewall Log-Filter Proxy] [Incoming] [
Outgoing][Firewall Log-Filter Cookies] [Firewall Log-Filter Java] [Firewall
Log-Filter ActiveX]"

Ovviamente i miei commenti non corrispondevano "carattere per carattere" a
queste parole chiave...

Non avevo pensato a questa evenienza, in quanto all'accensione, invia TUTTI i
messaggi di connessione PPPoE, MTU, LCP, ppp0, CHAP, DNS, eccetera e non
immaginavo, che poi intervenisse un filtro...

--
+---------------------------------------------------------------------------+
| Telegramma: MortaDella MandaRino |
| Risposta: NoceRino MandoLino BaciNella |
+-----#29--------------------Campagna contro le pubblicita` i*****te.---------+

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Reti locali | Tutti i gruppi | it.comp.reti.locali | Notizie e discussioni reti locali | Reti locali Mobile | Servizio di consultazione news.