[Risolto] Migliorare il file di log

[Ghepus]

Ho attivato in iptables il log per registrare le chiamate a sistema non gestite. Purtroppo esso contiene una quantità di informazioni elevata e probabilmente inutile. A me interessava registrare le chiamate a ip esterni che non corrispondono alle regole da me impostate, es. chiamate su porte non standard. Ad esempio se imposto che la navigazione avvenga solo su porta 80 e 443 vorrei registrare le chiamate sulle altre porte e verso che ip vorrebbe andare. Altre chiamate, tipo del DNS, registrare eventuali chiamate a DNS non consentiti. etc. Iptables gestisce tutto ciò? Mi date una mano ad ottimizare, in ogni caso, IPtables Log? Grazie.

[Filoteo]

Posta l’output di

Codice: Seleziona tutto

iptables -vnL

per avere un’idea di come è strutturato il firewall.

[Ghepus]

Codice: Seleziona tutto

:~$ iptables -vnL
iptables v1.6.0: can't initialize iptables table `filter': Permission denied (you must be root)
Perhaps iptables or your kernel needs to be upgraded.
computer64bit@computer64bit-P5K:~$ sudo iptables -vnL
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   17   884 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     udp  --  *      *       8.8.8.8              0.0.0.0/0            udp spt:53
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport sports 80,443
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 4 prefix "(IN): "

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 4 prefix "(FW): "

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    9   468 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443
    0     0 ACCEPT     udp  --  *      *       8.8.8.8              0.0.0.0/0            udp spt:53
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 4 prefix "(OUT): "

Chain syn-flood (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Codice: Seleziona tutto

*filter
:INPUT DROP [5:180]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:syn-flood - [0:0]
# Regole Input
# Firewall SPI
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# loopback
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp --sport 53 -s 8.8.8.8 -j ACCEPT
-A INPUT -p tcp -m multiport --sports 80,443 -j ACCEPT
# registrare le chiamate negate di iptables (accesso via il comando 'dmesg')
-A INPUT -j LOG --log-prefix "(IN): "
# -regole-FORWARD-
# registrare le chiamate negate di iptables (accesso via il comando 'dmesg')
-A FORWARD -j LOG --log-prefix "(FW): "
# Regole Output
# Firewall SPI
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# loopback
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A OUTPUT -p udp --sport 53 -s 8.8.8.8 -j ACCEPT
# registrare le chiamate negate di iptables (accesso via il comando 'dmesg')
-A OUTPUT -j LOG --log-prefix "(OUT): "
COMMIT

[Filoteo]

Questa regola

Codice: Seleziona tutto

-A INPUT -p udp --sport 53 -s 8.8.8.8 -j ACCEPT

non serve in quanto già accetti le connessioni stabilite 2 regole prima, inoltre questa regola

Codice: Seleziona tutto

-A OUTPUT -p udp --sport 53 -s 8.8.8.8 -j ACCEPT

è sbagliata, dovrebbe essere

Codice: Seleziona tutto

-A OUTPUT -p udp --dport 53 -d 8.8.8.8 -j ACCEPT

infatti il server 8.8.8.8:53 è l'host di destinazione, non l'host sorgente.

Considera di usare questa regola con rate limiting per evitare di inondare i log di pacchetti scartati

Codice: Seleziona tutto

-A OUTPUT -m limit --limit 5/min -j LOG --log-prefix "inserisci commento"

Dovrebbe funzionare già così tuttavia filtrare il traffico in uscita è un po' strano, non ti fidi del tuo software?

[Ghepus]

Appena possibile provvedo. Le regole, sugli esempi che ho trovato, controllano anche i pacchetti in uscita. E' sbagliato o eccessivo?

[Filoteo]

Per me è un po' eccessivo filtrare le connessioni in uscita, diversi servizi potrebbero non funzionare, come per esempio il client NTP per la sincronizzazione dell'ora. Altro appunto, se non hai abilitato l'ip forwarding sul pc (di default non è abilitato) puoi anche lasciare la catena FORWARD vuota (senza log), visto che comunque non passerebbe nulla.

[thece]

... o eccessivo?

Tutto dipende da qual'è il tuo obiettivo, ossia da cosa, nelle tue intenzioni, dovrebbero fare le regole di IPTables.
Ad esempio, consideriamo un tipico scenario domestico: uno o più PC connessi in LAN fra loro dietro un modem / router. L'utilizzo di un firewall personale installato su ogni PC è del tutto superfluo. I PC vengono protetti dagli accessi provenienti da Internet dal firewall installato sul modem / router. Il discorso cambia se i PC si devono proteggere fra di loro.

[Filoteo]

Tutto dipende da qual'è il tuo obiettivo, ossia da cosa, nelle tue intenzioni, dovrebbero fare le regole di IPTables.
Ad esempio, consideriamo un tipico scenario domestico: uno o più PC connessi in LAN fra loro dietro un modem / router. L'utilizzo di un firewall personale installato su ogni PC è del tutto superfluo. I PC vengono protetti dagli accessi provenienti da Internet dal firewall installato sul modem / router. Il discorso cambia se i PC si devono proteggere fra di loro.

Vero però spesso non puoi fidarti al 100% del router che spesso ha software datato se non anche vulnerabile, come del resto molti dei dispositivi IoT che si stanno diffondendo. Quindi in un’ottica di “sicurezza a strati” IMHO conviene comunque attivare il firewall.

[Ghepus]

Codice: Seleziona tutto

-A OUTPUT -m limit --limit 5/min -j LOG --log-prefix "inserisci commento"

Me la puoi spiegare, non ho trovato nulla su man e/o su internet su -m limit.
Grazie.

[Filoteo]

Ti cito

Codice: Seleziona tutto

man iptables-extensions

This module matches at a limited rate using a token bucket filter. A rule using this extension will match until this limit is reached. It can be used in combination with the LOG target to give limited logging, for example.
xt_limit has no negation support - you will have to use -m hashlimit ! --hashlimit rate in this case whilst omitting --hashlimit-mode.

--limit rate[/second|/minute|/hour|/day]
Maximum average matching rate: specified as a number, with an optional `/second', `/minute', `/hour', or `/day' suffix; the default is 3/hour.
--limit-burst number
Maximum initial number of packets to match: this number gets recharged by one every time the limit specified above is not reached, up to this number; the default is 5.

Quindi il modulo (di default) effettua il match a una media di 3/ora con un massimo di 5 pacchetti alla volta. Nel caso della regola precedente avevo modificato la media in 5/minuto.

[Ghepus]

Se volessi escludere dal file di log, ad esempio, i tentativi di connessione verso una porta specifica o un ip specifico ?

[silvio169]

Buongiorno
scusate la mia ignoranza
volevo sapere dove postare il mio problema.

[Filoteo]

Se volessi escludere dal file di log, ad esempio, i tentativi di connessione verso una porta specifica o un ip specifico ?

Basta scartare il pacchetto prima che raggiunga la regola di LOG. Procedi in questo modo:

Visualizzi le regole numerate:

Codice: Seleziona tutto

sudo iptables -vnL --line-numbers

Scartiamo, per esempio, le connessioni in ingesso verso la porta 1234. In base all’output del firewall la regola di log sarà la 5, quindi devi inserirla al posto 4 o inferiore (parte da 1). Con -I inserisci la regola alla posizione desiderata.

Codice: Seleziona tutto

sudo iptables -I INPUT 1 --dport 1234 -j DROP

EDIT: mi correggo, la regola va messa necessariamente come prima regola, altrimenti viene accettata dalla regola che contiene ESTABILISHED, RELATED

[Filoteo]

Buongiorno
scusate la mia ignoranza
volevo sapere dove postare il mio problema.

Vai nella pagina precedente e premi “Nuova discussione”

[Ghepus]

Suggerimento molto utile. Volevo sapere se c'è un modo per registrare le richieste di siti per esteso, mi spiego meglio, se mi collego a "forum.ubuntu-it.org" lo digito sulla barra, il browser lo invia da qualche parte per risolvere il nome.
C'e' un modo per tenerne traccia? Probabilmente non è iptables lo strumento giusto.
Apro un nuovo tread?

[Filoteo]

Suggerimento molto utile. Volevo sapere se c'è un modo per registrare le richieste di siti per esteso, mi spiego meglio, se mi collego a "forum.ubuntu-it.org" lo digito sulla barra, il browser lo invia da qualche parte per risolvere il nome.
C'e' un modo per tenerne traccia? Probabilmente non è iptables lo strumento giusto.
Apro un nuovo tread?

Puoi loggare le richieste DNS con dnsmasq.

Crei questo file di configurazione:

Codice: Seleziona tutto

sudo nano /etc/NetworkManager/dnsmasq.d/logging.conf

Incolli questo:

Codice: Seleziona tutto

log-queries
log-facility=/var/log/dnsmasq.log

Se vuoi, modifica i permessi del file per leggerli da utente normale, condiderando che così qualunque utente potrà leggerlo:

Codice: Seleziona tutto

sudo chmod 644 /var/log/dnsmasq.log

Riavvii NetworkManager:

Codice: Seleziona tutto

sudo systemctl restart NetworkManager

Riferimenti:
http://www.thekelleys.org.uk/dnsmasq/do ... q-man.html
https://developer.gnome.org/NetworkMana ... .conf.html

[silvio169]

buongiorno.
scusa Filoteo ma (nuova discussione) non la trovo

[silvio169]

ho provato con chiedi,mala richiesta non so dove sia finita

[giulux]

buongiorno.
scusa Filoteo ma (nuova discussione) non la trovo

In alto a sinistra su sfondo rosso, nell'indice della sezione

[Ghepus]

Suggerimento molto utile. Volevo sapere se c'è un modo per registrare le richieste di siti per esteso, mi spiego meglio, se mi collego a "forum.ubuntu-it.org" lo digito sulla barra, il browser lo invia da qualche parte per risolvere il nome.
C'e' un modo per tenerne traccia? Probabilmente non è iptables lo strumento giusto.
Apro un nuovo tread?

Puoi loggare le richieste DNS con dnsmasq.

Crei questo file di configurazione:

Codice: Seleziona tutto

sudo nano /etc/NetworkManager/dnsmasq.d/logging.conf

Incolli questo:

Codice: Seleziona tutto

log-queries
log-facility=/var/log/dnsmasq.log

Se vuoi, modifica i permessi del file per leggerli da utente normale, condiderando che così qualunque utente potrà leggerlo:

Codice: Seleziona tutto

sudo chmod 644 /var/log/dnsmasq.log

Riavvii NetworkManager:

Codice: Seleziona tutto

sudo systemctl restart NetworkManager

Riferimenti:
http://www.thekelleys.org.uk/dnsmasq/do ... q-man.html
https://developer.gnome.org/NetworkMana ... .conf.html

Ottimo!
Ultima richiesta: per visualizzare le occorrenze univoche del file, senza dover leggere e rileggerle su tutto il file, c'è uno script o si può impostare in qualche modo il logging?