このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

IPTables log analyzerでの質問 このメッセージに返信する
日時: 2009/03/31 02:49
名前: ヒデ
URL:
IPTables log analyzerで/var/log/messagesにはIPTables のログが記録されています。
しかしながら/var/log/ulogd.logには数えるほどしか記載がありません。

モニターで見ると…

[IPTABLES DENY_COUNTRY] : IN=eth0 OUT= MAC=××:××:××:××:××:××:××:××:××:××:××:××:××:×× SRC=114.42.32.132 DST=192.168.××.×× LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=10775 DF PROTO=TCP SPT=3504 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0

というログがものすごく数多く見られ、また/var/log/messagesにも

Mar 31 00:55:18 server kernel: [IPTABLES DENY_COUNTRY] : IN=eth0 OUT= MAC=××:××:××:××:××:××:××:××:××:××:××:××:××:×× SRC=114.42.32.132 DST=192.168.××.×× LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=10775 DF PROTO=TCP SPT=3504 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0

というログが数多く残っています。
モニター上に残っているログを見ると頭の部分だけ"INPUT"と"IPTABLES DENY_COUNTRY"と違うだけで以下の文面はまるっきり同じです。
IPTables log analyzerでは"INPUT"だけをひろってきていますが、この"IPTABLES DENY_COUNTRY"は無視してもいいものなのでしょうか?
無視していいものとは思えないので質問しています。
また、無視せずにiptbles logsで表示するとしたらどのようにしたらできるようになるのでしょうか?
まず、/var/log/ulogd.logにログを残さないといけないのでしょうが…

ご教授のほどをよろしくお願いいたします<(_ _)>
記事編集 編集
Re: IPTables log analyzerでの質問 このメッセージに返信する
日時: 2009/03/31 07:23
名前: stranger
URL: http://ja.528p.com/
設定例にあるように
iptables -A INPUT -m limit --limit 1/s -j LOG --log-prefix '[IPTABLES INPUT] : '
iptables -A INPUT -m limit --limit 1/s -j ULOG --ulog-nlgroup 1 --ulog-prefix 'INPUT'

LOGへジャンクションされるものはmessagesに
ULOGへジャンクションされるものはulogd.logに出力されるのでは?
設定されていないものは出力されない
あなたの設定次第では?

iptables設定スクリプトのなかで不正アタックの多い国を排除しています
その設定をログに出しているだけでは?

隣国からアタックされてもいいわと思ったら、tw cn kr などを設定からのぞけば良いです
いやになるほど、ping-death port-scan syn-flood sshdの辞書攻撃 などのアタックをうけます

INPUTの最初でDROPしてその後のチェーンに回さないだけ
kernelの負担が減ります
記事編集 編集
Re: IPTables log analyzerでの質問 このメッセージに返信する
日時: 2009/04/04 18:32
名前: ヒデ
URL:
strangerさんありがとうございます。
今度から"IPTABLES DENY_COUNTRY"は無視するようにします。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -