Консультации Портала - Консультация #130529

Задать вопрос Консультации Пользователи Форум

Задать вопрос экспертам

Консультация № 130529

04.04.2008, 12:40

0.00 руб.

0 2 2

Компьютеры Программное обеспечение Операционные системы

Доброго времени суток!
настраиваю фарволл на тестовой машинке.
В ядре есть опции:
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_FORWARD
также в rc.conf есть:

firewall_enable="YES"
firewall_logging="YES"
я видела что на рабочей машинке в /var/log лежать отчеты типа security.*.bz2 , где описаны все попытки соединения (чтобы отлавливать и если что для нужных добавлять правила)

Как мне на иестовой машинке сделать так, чтобы были такие же логи? с моими настройками есть тока
/var/log/security , но в нем нет нужных мне сообщение (типа deny from ip to ip)

где мне что дописать, чтобы логи записывались также как на рабочей?

Спасибо

Обсуждение

Неизвестный

04.04.2008, 12:57

общий

это ответ

Здравствуйте, irbis!
1. Смотрим через sysctl
net.inet.ip.fw.verbose
net.inet.ip.fw.verbose_limit
первое значение должно быть 1 иначе писаться не будет.. хотя firewall_logging="YES" определяет это значение, но проверить стоит
2. в правилах должно быть указано действие log для того чтоб в syslog заносилось прохождение этого правила :)

ЗЫ и вообще <a href = http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html>здесь </a> же все написано :)
будут непонятки - в личку

Неизвестный

04.04.2008, 22:22

общий

это ответ

Здравствуйте, irbis!

ipfw направляет свои сообщение с facility LOG_SECURITY (извините, термин facility в данном конетксте перевести не смогу), поэтому сообщения будут направляться туда, куда указывает настройка для security в /etc/syslog.conf. В простейшем случае нужно написать туда стриочку из приложения и перезапустить syslogd:

# killall -HUP syslogd

НО! Обратите внимание!
1. Сообщения о запрете, успехе, форварде и прочих действиях будут выводится в лог только тогда, когда в правиле есть указание "записать в лог", например
ipfw add 1000 allow log ip from me to 123.46.79.76

При этом число записей, которые будут выведены в лог поумолчанию равно 100 (то есть через 100 записей система скажет - хватит забивать лог). В основном этот параметр используется для отладки. Можно конечно его задрать так, чтобы писалось больше (если места достаточно), например:

ipfw add 1000 allow log logamount 10000 ip from 123.96.54.33 to any

будет выводить уже 10000 записей.

Можно также динамически скинуть счетчик записи в лог командой resetlog:

ipfw resetlog <номер_правила>

Если номер правила не указан, сбрасываются все счетчики

Приложение:
security.* /var/log/security

Форма ответа

Отправка постов/ответов доступна только зарегистрированным и подтвержденным пользователям.

Если Вы уже зарегистрированы на Портале - войдите в систему, если Вы еще не регистрировались - пройдите простую процедуру регистрации.