Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » Eliminacja w logu czesci pakietow objetych prefixem.
#1 2018-09-02 11:20:11
Novi-cjusz - 
Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Eliminacja w logu czesci pakietow objetych prefixem.
Witam wszystkich.
Mam regole iptables:
Kod:
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -j LOG --log-prefix "indrop"
W wyniku jej dzialania 99 % zzuconych do pliku loga stanowia pakiety z adresem "127.0.0.1" czyli local.
Poniewaz najciekawsze jest wlasnie ten 1% to jak skonfigurowac powyzsza regole, zeby odrzucala te 99% lokalnych a zapisywala jedynie ten 1 % "najciekawszych" ?
Pozdro.
Ostatnio edytowany przez Novi-cjusz (2018-09-02 22:27:09)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#2 2018-09-02 13:35:50
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Eliminacja w logu czesci pakietow objetych prefixem.
Pierwszą daj regułę wszysko accept z adresów 127.0.0.0/8 czyli puli lokalnej (wewnętrznej dla systemu operacyjnego), a logowanie w drugiej.
Powinno radykalnie pomóc.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2018-09-02 13:43:32
ethanak - Użytkownik
Re: Eliminacja w logu czesci pakietow objetych prefixem.
Zacząłbym od zapoznania się ze słownikiem ortograficznym języka polskiego. W następnej kolejności wpisałbym magiczne zaklęcie brzmiące "man itables", szukając słowa interface. Jeśli tego byłoby za mało, przeczytałbym rozdział traktujący o dopasowaniach do adresów ip, oraz następny o negacjach.
Po tym wszystkim nie musiałbym zadawać durnych pytań.
Aha, zanim zaczniesz tupać nogami i płakać że ethanak nie chce Ci pomóc - jak przeczytasz jeszcze raz tego posta to znajdziesz co najmniej dwie odpowiedzi na swoje żale.
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja
Offline
#4 2018-09-02 15:51:39
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: Eliminacja w logu czesci pakietow objetych prefixem.
@ Jacekalex
Tak zrobilem:
Kod:
iptables -A INPUT -s 127.0.0.0/8 -j ACCEPT iptables -I INPUT -m conntrack --ctstate NEW,INVALID -j LOG --log-prefix "indrop"
W iptables.log sie zmienilo i tak teraz wyglada:
Kod:
DST=255.255.255.255 LEN=162 TOS=0x00 PREC=0x00 TTL=128 ID=24735 PROTO=UDP SPT=17500 DPT=17500 LEN=142 Sep 2 14:46:19 robin-desktop kernel: [21700.443381] indropIN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:84:ef:18:0a:92:b8:08:00 SRC=192.168.0.55 DST=255.255.255.255 LEN=162 TOS=0x00 PREC=0x00 TTL=128 ID=24736 PROTO=UDP SPT=17500 DPT=17500 LEN=142 Sep 2 14:46:19 robin-desktop kernel: [21700.443396] indropIN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:84:ef:18:0a:92:b8:08:00 SRC=192.168.0.55 DST=255.255.255.255 LEN=162 TOS=0x00 PREC=0x00 TTL=128 ID=24737 PROTO=UDP SPT=17500 DPT=17500 LEN=142 Sep 2 14:46:19 robin-desktop kernel: [21700.443419] indropIN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:84:ef:18:0a:92:b8:08:00 SRC=192.168.0.55 DST=192.168.0.255 LEN=162 TOS=0x00 PREC=0x00 TTL=128 ID=2257 PROTO=UDP SPT=17500 DPT=17500 LEN=142 Sep 2 14:46:19 robin-desktop kernel: [21700.443436] indropIN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:84:ef:18:0a:92:b8:08:00 SRC=192.168.0.55 DST=255.255.255.255 LEN=162 TOS=0x00 PREC=0x00 TTL=128 ID=24738 PROTO=UDP SPT=17500 DPT=17500 LEN=142 Sep 2 14:46:19 robin-desktop kernel: [21700.443452] indropIN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:84:ef:18:0a:92:b8:08:00 SRC=192.168.0.55 DST=255.255.255.255 LEN=162 TOS=0x00 PREC=0x00 TTL=128 ID=24739 PROTO=UDP SPT=17500 DPT=17500 LEN=142 Sep 2 14:46:26 robin-desktop kernel: [21707.059345] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=59280 DF PROTO=UDP SPT=36360 DPT=53 LEN=39 Sep 2 14:46:26 robin-desktop kernel: [21707.060479] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=53 TOS=0x00 PREC=0x00 TTL=64 ID=59281 DF PROTO=UDP SPT=50227 DPT=53 LEN=33 Sep 2 14:46:26 robin-desktop kernel: [21707.070700] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=59283 DF PROTO=UDP SPT=59371 DPT=53 LEN=39 Sep 2 14:46:26 robin-desktop kernel: [21707.071815] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=53 TOS=0x00 PREC=0x00 TTL=64 ID=59284 DF PROTO=UDP SPT=37527 DPT=53 LEN=33 Sep 2 14:46:26 robin-desktop kernel: [21707.095382] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=59289 DF PROTO=UDP SPT=46321 DPT=53 LEN=39 Sep 2 14:46:26 robin-desktop kernel: [21707.096738] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=53 TOS=0x00 PREC=0x00 TTL=64 ID=59290 DF PROTO=UDP SPT=42215 DPT=53 LEN=33 Sep 2 14:46:26 robin-desktop kernel: [21707.107388] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=59292 DF PROTO=UDP SPT=55242 DPT=53 LEN=39 Sep 2 14:46:26 robin-desktop kernel: [21707.108440] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=53 TOS=0x00 PREC=0x00 TTL=64 ID=59293 DF PROTO=UDP SPT=39542 DPT=53 LEN=33 Sep 2 14:46:26 robin-desktop kernel: [21707.138702] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=59300 DF PROTO=UDP SPT=34115 DPT=53 LEN=39 Sep 2 14:46:26 robin-desktop kernel: [21707.139719] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=53 TOS=0x00 PREC=0x00 TTL=64 ID=59301 DF PROTO=UDP SPT=43885 DPT=53 LEN=33 Sep 2 14:46:26 robin-desktop kernel: [21707.150168] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=59303 DF PROTO=UDP SPT=33419 DPT=53 LEN=39 Sep 2 14:46:26 robin-desktop kernel: [21707.151484] outdropIN= OUT=lo SRC=127.0.0.1 DST=127.0.1.1 LEN=53 TOS=0x00 PREC=0x00 TTL=64 ID=59304 DF PROTO=UDP SPT=53306 DPT=53 LEN=33
W dalszym ciagu nie "odfiltrowywuje" pakietow z "ciekawymi" adresami z powodzi lokalnego trafficu.
Ostatnio edytowany przez Novi-cjusz (2018-09-02 15:52:41)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#5 2018-09-02 17:18:02
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Eliminacja w logu czesci pakietow objetych prefixem.
Kolejność reguł ma znaczenie.
Ważne też jest, ktore cele kończą a ktore nie kończzą przetwarzania pakietu przez netfiltera.
pokaż cały wynik:
Kod:
iptables -S
Względnie w regule można wykluczyć klasę adresów:
Kod:
iptables -I INPUT ! -s 127.0.0.0/8 -m conntrack --ctstate NEW,INVALID -j LOG --log-prefix "indrop"
Chociaż takie rozwiązanie to już lamerstwo i kapitulacja wobec sensownej konfiguracji netfiltera.
Ostatnio edytowany przez Jacekalex (2018-09-02 17:21:27)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#6 2018-09-02 17:19:24
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: Eliminacja w logu czesci pakietow objetych prefixem.
Kod:
iptables -S -P INPUT ACCEPT -P FORWARD DROP -P OUTPUT ACCEPT -A INPUT -s 127.0.0.0/8 -j ACCEPT -A INPUT -m conntrack --ctstate INVALID,NEW -j LOG --log-prefix indrop -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP -A INPUT -m conntrack --ctstate INVALID -j DROP -A INPUT -p icmp -m icmp --icmp-type 8 -j DROP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP -A INPUT -f -j DROP -A OUTPUT -m conntrack --ctstate INVALID,NEW -j LOG --log-prefix outdrop -A OUTPUT -o lo -j ACCEPT -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
O wykluczaniu klasy adresow tez juz myslalem, ale to rzeczywiscie bylaby smutna koniecznosc.
Iptables daje tyle wariantow, ze z pewnoscia istnieje lepsze rozwiazanie.
Na razie nie mam pomyslu.
Ps. Tak w ogole jak przy ww zestawie regol, dam na poczatku DROP w polityce domyslnej, to odcinam sie od sieci, dlaczego ?
W takim rozwiazaniu firewall bylby bardziej restrykcyjny.
Ostatnio edytowany przez Novi-cjusz (2018-09-02 18:18:38)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#7 2018-09-02 19:43:28
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: Eliminacja w logu czesci pakietow objetych prefixem.
@Jacekalex
Bardzo jestem ciekaw Twojej opini nt takiej regoly:
Kod:
iptables -I INPUT ! -s localhost -m conntrack --ctstate NEW,INVALID -j LOG --log-prefix "indrop"
Czyli caly traffic z wyjatkiem pochodzacego z lokalnego hosta
Ostatnio edytowany przez Novi-cjusz (2018-09-02 19:45:09)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#8 2018-09-03 15:45:12
ethanak - Użytkownik
Re: Eliminacja w logu czesci pakietow objetych prefixem.
@Jacekalex - możesz mi wyjaśnić jakoś tak poglądowo, dlaczego wykluczenie interfejsu lo jest lamerstwem (szczególnie w kontekście nieznajomości następnych reguł?)
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja
Offline
#9 2018-09-03 16:04:18
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Eliminacja w logu czesci pakietow objetych prefixem.
ethanak napisał(-a):
@Jacekalex - możesz mi wyjaśnić jakoś tak poglądowo, dlaczego wykluczenie interfejsu lo jest lamerstwem (szczególnie w kontekście nieznajomości następnych reguł?)
Wykluczenie interfejsu lamerstwem nie jest.
Pod warunkiem, że używa się nazwy interfejsu albo klasy adresowej tego interfejsu.
Lamerstwo polega na tym, że się pokazuje i ocenia jedną regulę a nie całość FW, który zakłada hierarchię reguł i dodatkowo zawiera cele które kończą lub nie kończą przetwarzanie pakietu.
Fachowo raz wpuszczone przez lo pakiety nie powinny po zastosowaniu ACCEPT przetwarzane przez kolejne reguły w tablicy filter, ale bez całości FW nie da się stwierdzić, co tam się naprawdę dzieje.
Jak pisałem posta #5 to całego FW tutaj jeszcze nie było.
Proponowanie składni reguly FW bez znajomości całej tablicy FW to jest gdybologia totalna.
xD
Ostatnio edytowany przez Jacekalex (2018-09-03 16:09:12)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
Strony: 1
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » Eliminacja w logu czesci pakietow objetych prefixem.