Differences

This shows you the differences between two versions of the page.

--- iptables_logging [2015/08/25 12:08] – created admin
+++ iptables_logging [2015/08/25 12:15] – [Instellen van logging] admin
@@ Line 1: / Line 1: @@
+{{tag>[linux iptables rsyslog logging firewall]}}
+~~TOC~~
 ===== iptables logging =====
@@ Line 7: / Line 10: @@
   * Controleer of er iptables rules actief zijn. Als er al rules in gebruik zijn, voeg deze dan boven eventuele drop-regels in (-I in plaats van -A):<code>iptables -nvL</code>
-  * Voeg een logregel toe. Dit voorbeeld logt LDAP SYN packets:<code>iptables -A INPUT -p tcp -m tcp -m multiport --dports 389,636 --syn -j LOG --log-prefix "[ldapconnect] "</code>
+  * Voeg een logregel toe.<code>#Dit voorbeeld logt LDAP SYN packets:
+iptables -A INPUT -p tcp -m tcp -m multiport --dports 389,636 --syn -j LOG --log-prefix "[ldapconnect] "
+# Voorbeeld log & drop
+iptables -N logdrop
+iptables -A logdrop -m limit --limit 5/m --limit-burst 10 -j LOG
+iptables -A logdrop -j DROP
+iptables -A INPUT -m conntrack --ctstate INVALID -j logdrop
+</code>
   * Configureer rsyslog zodat deze regels naar een ander logbestand worden weggeschreven. Dit voorbeeld gaat uit van /var/tmp. Maak het bestand /etc/rsyslog.d/00_ldap_connect_log.conf aan met de onderstaande inhoud. De -ampersand tilde- zorgt ervoor dat de weggeschreven regel niet meer door andere rsyslog regels loopt. Hierdoor komen de logregels alleen in het bedoelde bestand terecht. Deze tilde is in latere versies deprecated en kan vervangen worden door het woord stop.<code>:msg,contains,"[ldapconnect] " /var/tmp/ldapconnect.log
@@ Line 19: / Line 31: @@
 Aug 21 15:43:01 server kernel: [ldapconnect] IN=eth3 OUT= MAC= SRC=10.10.10.1 DST=10.10.10.10 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=51481 DF PROTO=TCP SPT=48082 DPT=389 WINDOW=5840 RES=0x00 SYN URGP=0
 </code>