Gerar log de pacotes DROPados [RESOLVIDO]

1. Gerar log de pacotes DROPados [RESOLVIDO]

asparion
(usa Ubuntu)

Enviado em 09/11/2021 - 17:44h

Boa tarde amigos VOL

Como faço para gerar log de pacotes dropados: Segue:



*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT ACCEPT [143:17688]

:PORTAS - [0:0]



# Cadeias da tabela Filter

-A INPUT -j PORTAS

-A FORWARD -j PORTAS

-A OUTPUT -j PORTAS



# Portas Estabilizadas, Ping, Loopback

-A PORTAS -m state --state RELATED,ESTABLISHED -j ACCEPT

-A PORTAS -p icmp -j ACCEPT

-A PORTAS -i lo -j ACCEPT



# Ftp, Ssh

-A PORTAS -p tcp -m tcp --dport 21 -j ACCEPT

-A PORTAS -p tcp -m tcp --dport 22 -j ACCEPT



# Nagegadores

-A PORTAS -p tcp -m tcp --dport 80 -j ACCEPT

-A PORTAS -p tcp -m tcp --dport 443 -j ACCEPT

-A PORTAS -p tcp -m tcp --dport 3000 -j DROP



-A PORTAS -j LOG --log-prefix "Droped: "



# Bloqueio de Ping proibido

-A PORTAS -j REJECT --reject-with icmp-host-prohibited

COMMIT

e depois acompanhar em tempo real, ex:



tail -f /var/log/kern.log | grep "Droped"

Dessa forma que fiz não esta registrando logs DROPados

vlw abraços

0 0

Quote

2. MELHOR RESPOSTA

rafael_grether
(usa FreeBSD)

Enviado em 10/11/2021 - 19:41h

Não sou especialista em iptables, meu forte é o PF e IPFW.
Mas suas regras estão esquisitas. .

Procure manter seu firewall o mais limpo possível para fazer testes de log.
Muitas vezes uma regra pode estar conflitando com outra.

Faça assim como abaixo.
Sempre que voce usar o "-j LOG_DROP" os pacotes serão dropados e logados pelas configurações que criei.

iptables -F
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix "DROPED: " --log-level 6
iptables -A LOG_DROP -j DROP
iptables -A INPUT -p tcp --dport 3000 -j LOG_DROP

iptables-save > /etc/firewall.rules

Apos uma maquina tentar acessar pela porta 3000, o log será salvo, algo assim no /var/log/kern.log:

Nov 10 19:34:57 debian kernel: [ 2592.734201] DROPED: IN=enp0s5 OUT= MAC=00:1c:42:0b:37:c8:00:1c:42:00:00:08:08:00 SRC=10.211.55.2 DST=10.211.55.25 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=51919 DPT=3000 WINDOW=65535 RES=0x00 SYN URGP=0

0 0

Quote

3. Re: Gerar log de pacotes DROPados

Carlos_Cunha
(usa Linux Mint)

Enviado em 10/11/2021 - 08:46h

Mas olhando , me parasse que vc so esta "dropando" a porta 3000, so teria log disso acredito.
Não vi também a politica padrão, que geralmente é drop.....

segue alguns links que podem ajudar:

https://www.vivaolinux.com.br/artigo/Analizando-os-logs-do-IPTables
https://purainfo.com.br/logs-no-iptables-parte-i/

#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

1 0

Quote