Problema ao gerar Log Firewall + Iptables

ShaolinNavigator
(usa Outra)

Enviado em 08/03/2016 - 13:24h

Boa Tarde pessoal,

Estou com o seguinte problema e gostaria de orientação para tentar resolver.

Não estou conseguindo salvar os logs de entrada no firewall + iptables (Debian) em apenas um arquivo.
A mesma informação de log é salva simultaneamente em 3 arquivos:

- /var/log/messages
- /var/log/syslog
- /var/log/kern.log

o que eu já fiz:

Adicionei a linha baixo no script firewall.
iptables -A INPUT -j LOG

e a linha abaixo no /etc/rsyslog.conf
kern.warn -/var/log/iptables.log

Mas como disse antes, os logs estão sendo salvos nos 3 arquivos que mencionei acima.
Como posso fazer para salvar apenas no arquivo -/var/log/iptables.log?

Valeu.

Nota.: Eu li algumas duvidas parecidas, aqui e em outros foruns também, mas ninguem com essa mesma duvida.

Buckminster
(usa Debian)

Enviado em 08/03/2016 - 13:59h

Não aconselho a fazer isso, pois os três arquivos são necessários para o bom funcionamento do sistema em caso de falhas.

Para o teu caso, faça isto:

"Se vc usa o iptables como personal firewall, veja como gerar logs de acessos ou tentativas de acesso a sua maquina.


O iptables tem um target extension denominado LOG, que permite que qualquer pacote que se encaixe na regra do iptables seja enviado para o syslog ou dmesg.
Esse target é não-terminal, ou seja, para um dado pacote que é validado na regra, ele continua sendo avaliado nas regras subsequentes. Portanto, se vc quer descartar o pacote após gerar um log de sua chegada, vc deve criar outra regra idêntica, mas com o target REJECT ou DROP, ou colocar a política default como DROP (recomendado), e criar regras apenas para o que é permitido.
Veja abaixo um exemplo.
iptables -I INPUT 1 -m limit -p tcp –destination-port 22 -j LOG –log-level 1 –log-prefix ‘SSH >’

O comando acima inclui uma regra para gerar uma mensagem no syslog para qualquer acesso SSH (porta 22). O nível do log é 1 (alert) e a mensagem será prefixada com o texto "SSH >"

Vc deve adicionar ao seu arquivo /etc/syslog.conf a linha abaixo.

*.=alert -/var/log/iptables

Isso enviará as mensagens para o arquivo /var/log/iptables. Reinicie o syslogd para a alteração ser carregada.

Abaixo um exemplo da mensagem gerada, para uma regra que gere log de acessos HTTP.

Jan 19 15:41:18 localhost kernel: HTTP >IN=eth0 OUT= MAC=00:00:39:57:30:a4:00:50:22:00:df:9f:08:00 SRC=10.105.90.9 DST=10.104.90.9 LEN=342 TOS=0×00 PREC=0×00 TTL=128 ID=12194 DF PROTO=TCP SPT=3527 DPT=80 WINDOW=17520 RES=0×00 ACK PSH URGP=0"

tirado daqui http://www.sounerd.com.br/geracao-de-log-pelo-iptables/#more-224

daí tu pode personalizar várias entradas no arquivo para melhor organização:

iptables -I INPUT 1 -p tcp –dport 22 -i ethx -j LOG –log-level 1 –log-prefix ‘SSH >’
iptables -I INPUT 2 -p tcp –dport 80 -i ethx -j LOG –log-level 1 –log-prefix ‘HTTP >’
iptables -I INPUT 3 -p tcp –dport 25 -i ethx -j LOG –log-level 1 –log-prefix ‘SMTP >’
iptables -I INPUT 4 -p tcp –dport 137:139 -i ethx -j LOG –log-level 1 –log-prefix ‘SAMBA >’

e assim por diante.

ShaolinNavigator
(usa Outra)

Enviado em 08/03/2016 - 14:21h

Eu já havia passado por esse mesma sugestão que vc mencionou e ela não me atende.

O meu problema hoje é espaço em disco....em apenas uma hora gerou 300Mb de logs, como são 3 arquivos, deu quase 1GB só de log.
Minha intenção é que, o que passe pela regra do firewall seja salvo apenas em um arquivo.
Separando dos demais logs do sistema.

Inclusive a menção de salvar no arquivo iptables.log não me ajuda, pq continua salvando o mesmo log nos outros arquivos.

Buckminster
(usa Debian)

Enviado em 08/03/2016 - 14:28h

Por quê não disse logo?

http://www.guiafoca.org/cgs/guia/avancado/ch-log.html

Aconselho o logrotate, ou pode configurar o tamanho dos arquivos de logs direto no sistema.

ShaolinNavigator
(usa Outra)

Enviado em 08/03/2016 - 14:31h

Também passei por esse link....
Ele resolve em partes....pq os logs continuam salvando nos 3 arquivos....
O que for filtrado pelo iptables, gostaria que fosse salvo em apenas um arquivo...

Buckminster
(usa Debian)

Enviado em 08/03/2016 - 14:54h

Cara, quê parte disso aqui "Não aconselho a fazer isso, pois os três arquivos são necessários para o bom funcionamento do sistema em caso de falhas." tu não entendeu?

Mas se quiser mesmo, gere links simbólicos e/ou direcione o conteúdo dos três arquivos para um só. Pode usar Shell Script.

ShaolinNavigator
(usa Outra)

Enviado em 08/03/2016 - 15:02h

Bom como é um conselho...me reservo no direito de recusar...

E pelo visto você também não entendeu exatamente o que quero...

Os arquivos vão continuar existindo registrando todos os logs normalmente...o que quero é que os logs gerados através da regra do firewall sejam exclusivamente salvos num arquivo a parte... e não nos 3 arquivos simultaneamente...

Não precisa mais perder seu tempo tentando me ajudar...

Buckminster
(usa Debian)

Enviado em 08/03/2016 - 16:25h

http://www.devin.com.br/shell-entrada-e-saida/

https://www.vivaolinux.com.br/dica/Redirecionamento-no-Shell/

https://www.vivaolinux.com.br/artigo/Fundamentos-do-sistema-Linux-direcionadores/

http://blog.evaldojunior.com.br/aulas/blog/shell/shell%20script/2011/05/01/shell-script-parte-1-intr...