|
iptables LOG --> wie am übersichtlichsten?
Hallo!
Ich hab mit "iptables log" bereits im Forum gesucht, aber nix passendes gefunden: Die Aufgabenstellung ist eigentlich ganz einfach, ich will Subnetze getrennt und nach Ports loggen. Dazu wäre es toll wenn diese alle in einem eigenen Logfile wären und nicht in /var/log/messagesm,auch wenn man das (e)greppen kann,klar :) . Ich hab jetzt schon die Optionen --log-level und --log-prefix gesehen, aber nix mit dem ich definitiv ein spezifisches Log, am besten gleich am Anfang des Skripts festlege. ULOG scheint ja auch nicht das richtige zu sein? Sorry falls ich da was ganz einfaches nicht behirne, bin gerade beim http://www.linuxsecurity.com//resour...-tutorial.html beim Kapitel zu LOG, nicht hauen falls die Antwort auf meine Frage drei Zeilen drunter kommt. :) Ciao, Steve |
Hy Steve
http://robert.cheramy.net/ipfm/ oder http://www.intevation.de/iam oder einfach Sourceforge :D IAM kenne ich jemanden der das einsetzt ;) Sloter Ps: mrtg oder rdtools sind auch gut.....Denke aber das Arti oder _m3 schnell ein paar Zeilen für deine Zwecke schreiben können "läuftschnellweg" :D |
Zitat:
Danke für die URLs Sloter! Ich hab deswegen nicht nach externen Programmen geschaut da ich das möglichst einfach mit den bordeigenen Mitteln machen wollte...aber diese Konversation bestätigt mich in dem Eindruck den ich von Loggen schon gewann: http://forum.winner.de/showthread.ph...t=iptables+log ad 1.) :) ad 2.) Da lese ich auch gerade die Doku, nur ist da immer von community@router die Rede, ich hab hier leider weder ein SNMP-Passwort zu Hand (?) alsauch soll ja eth0/1 geloggt werden und kein routergerät oder denke ich wieder zu kompliziert? Es sollen nur 2 Sachen geschehen: Welches Subnetz hat über welchen Port wieviel zugegriffen und Subnetz A bekommt immer X Bandbreite. Aus :) . Danke für eure Hilfe, Ciao, Steve |
Boardmittel wäre ein einfaches Script das die Logs auswertet und das Ergebnis in ein File schreibt.
Das macht IAM.... 2, Laß dich von dem Wort Router nicht abschrecken, deiner routet auch Datenpakete @Bandbreite: Da haben wir schon darüber geplaudert... ...njente,nüsse,nada,njet.....da gibts nichts :D Du bist eh so ein Sicherheitsfreak :), eigentlich sollte die Firewall beim Logen den Mechanismus haben, das sie bei zuvvielen Zugriffen (Flowting) aufhört zu zu logen, sonst schmirrt sie ab. Sloter |
Zitat:
ad 1.) IAM ist leider nicht in Debian IPFM hab ich gerade installiert, schaut ganz gut aus, ist auf host-basis, aber das ist vielleicht eh erwünscht. Da frage ich morgen nach... ad 2.) IC, danke. Dennoch weiss ich kein Communitypasswort meiner Netzwerkkarten? ad 3.) Naja, wofür ist dann das Kommando "tc" da? ad 4.) Wo genau meinst du das? Danke, Ciao, Steve |
Hy Steve
1, Eh klar, wenn es der eigene Server ist, halten wir uns strikt auf Stable, bei den anderen Server können wir schon etwas herumtesten :D 2, Ich muß mal die Anleitung lesen, was für ein Paßwort für die Nic :confused: 3, Viel Glück, gleichmässig aufteilen ja aberkeine Unterschiedliche Bandbreite :) 4,Eine Firewall besser gesagt das System kannst du abschießen wenn es zu viel logt. Performanz geht runter und irgendwann ist die Dose dicht. Bei IPTables kannst du angeben was und wie gelogt werden soll und ab wann (wie viele Zugriffe) er eine Pause mit dem logen einlegen soll und wie lange die Pause sein soll. Mit der Einstellung kann es aber sein das dein Logfile nicht vollständig ist. Sloter |
ad 2.) snmp communities haben kein pw, du kannst dich absichern dass du den community namen möglichst kompliziert machst und tunlichst nicht die 2 standard communities public/private verwenden solltest ;)
und community@router würde dann sozusagen $communityname@$routername meinen :rolleyes: :D ad 3.) du kannst die anderen subnets begrenzen, dass für das eine immer so viel bandbreite zur verfügung steht wie sein soll... hab das bisher mal auf einem cisco gesehn... |
Zitat:
ad 1.) Hehehe, nein, ich habs in keinem Zweig als Paket gefunden: http://packages.debian.org/cgi-bin/s...ll&release=all ad 2.) MRTG will daß die Geräte angibst mit community@router , zweiteres ist mir klar denke ich (hostname des der dem device zugeordneten IP, aber bei ersterem ist mir nicht klar ob da "public" wie in den Beispielen reicht: http://people.ee.ethz.ch/~oetiker/we...reference.html Minimal mrtg.cfg WorkDir: /usr/tardis/pub/www/stats/mrtg Target[r1]: 2: public@myrouter.somplace.edu ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ MaxBytes[r1]: 8000 Title[r1]: Traffic Analysis ISDN PageTop[r1]: <H1>Stats for our ISDN Line</H1> ad 3.) Hmm, verstehe, das ist blöd...... ad 4.) IC, danke für den Hinweis! Ciao, Steve |
Zitat:
ad 2.) Super,danke, das war der Hinweis den ich brauchte. ad 3.) Genau, wie geht das? Weil einen Hardwarerouter will ich ja mit der Lösung ersetzen :) Danke, Ciao, Steve |
ad 3.) traffic shapen
apt-get -u install shaper :) http://packages.debian.org/stable/net/shaper.html da musst du aber ziemlich sicher einiges anpassen, der braucht noch einige module im kernel... ich schau mir das grad an :) AFAIK kannst du jedenfalls nicht sagen: ich hab X bandbreite, subnet A (A) braucht max Y bandbreite aber nicht immer. während A nicht soviel bandbreite braucht darf diese anderweitig verwendet werden, braucht A Y bandbreite müssen alle anderen zurückstecken. du könntest nur für alles andere AUSSER A begrenzen dass A falls nötig bandbreite Y zur verfügung hat... |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 22:04 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag