Differences

This shows you the differences between two versions of the page.

--- iptables_logging [2015/08/25 12:09] – admin
+++ iptables_logging [2015/08/25 12:15] – admin
@@ Line 10: / Line 10: @@
   * Controleer of er iptables rules actief zijn. Als er al rules in gebruik zijn, voeg deze dan boven eventuele drop-regels in (-I in plaats van -A):<code>iptables -nvL</code>
-  * Voeg een logregel toe. Dit voorbeeld logt LDAP SYN packets:<code>iptables -A INPUT -p tcp -m tcp -m multiport --dports 389,636 --syn -j LOG --log-prefix "[ldapconnect] "</code>
+  * Voeg een logregel toe.<code>#Dit voorbeeld logt LDAP SYN packets:
+iptables -A INPUT -p tcp -m tcp -m multiport --dports 389,636 --syn -j LOG --log-prefix "[ldapconnect] "
+# Voorbeeld log & drop
+iptables -N logdrop
+iptables -A logdrop -m limit --limit 5/m --limit-burst 10 -j LOG --log-prefix "[invalid] "
+iptables -A logdrop -j DROP
+iptables -A INPUT -m conntrack --ctstate INVALID -j logdrop
+</code>
   * Configureer rsyslog zodat deze regels naar een ander logbestand worden weggeschreven. Dit voorbeeld gaat uit van /var/tmp. Maak het bestand /etc/rsyslog.d/00_ldap_connect_log.conf aan met de onderstaande inhoud. De -ampersand tilde- zorgt ervoor dat de weggeschreven regel niet meer door andere rsyslog regels loopt. Hierdoor komen de logregels alleen in het bedoelde bestand terecht. Deze tilde is in latere versies deprecated en kan vervangen worden door het woord stop.<code>:msg,contains,"[ldapconnect] " /var/tmp/ldapconnect.log