[Risolto] Migliorare il file di log
-
- Scoppiettante Seguace
- Messaggi: 520
- Iscrizione: lunedì 11 dicembre 2017, 18:28
- Desktop: mate
- Distribuzione: Ubuntu 22.04.3 LTS Mate
[Risolto] Migliorare il file di log
Motivazione: Non c'è bisogno di usare il tutto maiuscolo per il risolto, grazie
- Filoteo
- Entusiasta Emergente
- Messaggi: 1322
- Iscrizione: venerdì 28 agosto 2015, 9:38
- Desktop: Gnome
- Distribuzione: Arch Linux
Re: Migliorare il file di log
Codice: Seleziona tutto
iptables -vnL
-
- Scoppiettante Seguace
- Messaggi: 520
- Iscrizione: lunedì 11 dicembre 2017, 18:28
- Desktop: mate
- Distribuzione: Ubuntu 22.04.3 LTS Mate
Re: Migliorare il file di log
Codice: Seleziona tutto
:~$ iptables -vnL
iptables v1.6.0: can't initialize iptables table `filter': Permission denied (you must be root)
Perhaps iptables or your kernel needs to be upgraded.
computer64bit@computer64bit-P5K:~$ sudo iptables -vnL
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
17 884 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT udp -- * * 8.8.8.8 0.0.0.0/0 udp spt:53
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport sports 80,443
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix "(IN): "
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix "(FW): "
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
9 468 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
0 0 ACCEPT udp -- * * 8.8.8.8 0.0.0.0/0 udp spt:53
0 0 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix "(OUT): "
Chain syn-flood (0 references)
pkts bytes target prot opt in out source destination
Codice: Seleziona tutto
*filter
:INPUT DROP [5:180]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:syn-flood - [0:0]
# Regole Input
# Firewall SPI
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# loopback
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp --sport 53 -s 8.8.8.8 -j ACCEPT
-A INPUT -p tcp -m multiport --sports 80,443 -j ACCEPT
# registrare le chiamate negate di iptables (accesso via il comando 'dmesg')
-A INPUT -j LOG --log-prefix "(IN): "
# -regole-FORWARD-
# registrare le chiamate negate di iptables (accesso via il comando 'dmesg')
-A FORWARD -j LOG --log-prefix "(FW): "
# Regole Output
# Firewall SPI
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# loopback
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A OUTPUT -p udp --sport 53 -s 8.8.8.8 -j ACCEPT
# registrare le chiamate negate di iptables (accesso via il comando 'dmesg')
-A OUTPUT -j LOG --log-prefix "(OUT): "
COMMIT
- Filoteo
- Entusiasta Emergente
- Messaggi: 1322
- Iscrizione: venerdì 28 agosto 2015, 9:38
- Desktop: Gnome
- Distribuzione: Arch Linux
Re: Migliorare il file di log
Codice: Seleziona tutto
-A INPUT -p udp --sport 53 -s 8.8.8.8 -j ACCEPT
Codice: Seleziona tutto
-A OUTPUT -p udp --sport 53 -s 8.8.8.8 -j ACCEPT
Codice: Seleziona tutto
-A OUTPUT -p udp --dport 53 -d 8.8.8.8 -j ACCEPT
Considera di usare questa regola con rate limiting per evitare di inondare i log di pacchetti scartati
Codice: Seleziona tutto
-A OUTPUT -m limit --limit 5/min -j LOG --log-prefix "inserisci commento"
-
- Scoppiettante Seguace
- Messaggi: 520
- Iscrizione: lunedì 11 dicembre 2017, 18:28
- Desktop: mate
- Distribuzione: Ubuntu 22.04.3 LTS Mate
Re: Migliorare il file di log
- Filoteo
- Entusiasta Emergente
- Messaggi: 1322
- Iscrizione: venerdì 28 agosto 2015, 9:38
- Desktop: Gnome
- Distribuzione: Arch Linux
Re: Migliorare il file di log
- thece
- Tenace Tecnocrate
- Messaggi: 12949
- Iscrizione: lunedì 23 aprile 2007, 14:16
- Distribuzione: Debian 12 (Bookworm) - KDE
Re: Migliorare il file di log
Tutto dipende da qual'è il tuo obiettivo, ossia da cosa, nelle tue intenzioni, dovrebbero fare le regole di IPTables.
Ad esempio, consideriamo un tipico scenario domestico: uno o più PC connessi in LAN fra loro dietro un modem / router. L'utilizzo di un firewall personale installato su ogni PC è del tutto superfluo. I PC vengono protetti dagli accessi provenienti da Internet dal firewall installato sul modem / router. Il discorso cambia se i PC si devono proteggere fra di loro.
- Filoteo
- Entusiasta Emergente
- Messaggi: 1322
- Iscrizione: venerdì 28 agosto 2015, 9:38
- Desktop: Gnome
- Distribuzione: Arch Linux
Re: Migliorare il file di log
Vero però spesso non puoi fidarti al 100% del router che spesso ha software datato se non anche vulnerabile, come del resto molti dei dispositivi IoT che si stanno diffondendo. Quindi in un’ottica di “sicurezza a strati” IMHO conviene comunque attivare il firewall.Tutto dipende da qual'è il tuo obiettivo, ossia da cosa, nelle tue intenzioni, dovrebbero fare le regole di IPTables.
Ad esempio, consideriamo un tipico scenario domestico: uno o più PC connessi in LAN fra loro dietro un modem / router. L'utilizzo di un firewall personale installato su ogni PC è del tutto superfluo. I PC vengono protetti dagli accessi provenienti da Internet dal firewall installato sul modem / router. Il discorso cambia se i PC si devono proteggere fra di loro.
-
- Scoppiettante Seguace
- Messaggi: 520
- Iscrizione: lunedì 11 dicembre 2017, 18:28
- Desktop: mate
- Distribuzione: Ubuntu 22.04.3 LTS Mate
Re: Migliorare il file di log
Me la puoi spiegare, non ho trovato nulla su man e/o su internet su -m limit.Filoteo [url=http://server1.kproxy.com/servlet/redirect.srv/slxv/scs-ggbjrl/sfomkc/p2/viewtopic.php?p=5028107#p5028107][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Codice: Seleziona tutto
-A OUTPUT -m limit --limit 5/min -j LOG --log-prefix "inserisci commento"
Grazie.
- Filoteo
- Entusiasta Emergente
- Messaggi: 1322
- Iscrizione: venerdì 28 agosto 2015, 9:38
- Desktop: Gnome
- Distribuzione: Arch Linux
Re: Migliorare il file di log
Codice: Seleziona tutto
man iptables-extensions
Quindi il modulo (di default) effettua il match a una media di 3/ora con un massimo di 5 pacchetti alla volta. Nel caso della regola precedente avevo modificato la media in 5/minuto.This module matches at a limited rate using a token bucket filter. A rule using this extension will match until this limit is reached. It can be used in combination with the LOG target to give limited logging, for example.
xt_limit has no negation support - you will have to use -m hashlimit ! --hashlimit rate in this case whilst omitting --hashlimit-mode.
--limit rate[/second|/minute|/hour|/day]
Maximum average matching rate: specified as a number, with an optional `/second', `/minute', `/hour', or `/day' suffix; the default is 3/hour.
--limit-burst number
Maximum initial number of packets to match: this number gets recharged by one every time the limit specified above is not reached, up to this number; the default is 5.
-
- Scoppiettante Seguace
- Messaggi: 520
- Iscrizione: lunedì 11 dicembre 2017, 18:28
- Desktop: mate
- Distribuzione: Ubuntu 22.04.3 LTS Mate
Re: Migliorare il file di log
-
- Prode Principiante
- Messaggi: 3
- Iscrizione: martedì 12 dicembre 2017, 17:24
- Sesso: Maschile
Re: Migliorare il file di log
scusate la mia ignoranza
volevo sapere dove postare il mio problema.
- Filoteo
- Entusiasta Emergente
- Messaggi: 1322
- Iscrizione: venerdì 28 agosto 2015, 9:38
- Desktop: Gnome
- Distribuzione: Arch Linux
Re: Migliorare il file di log
Basta scartare il pacchetto prima che raggiunga la regola di LOG. Procedi in questo modo:Ghepus [url=https://forum.ubuntu-it.org/viewtopic.php?p=5028403#p5028403][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Se volessi escludere dal file di log, ad esempio, i tentativi di connessione verso una porta specifica o un ip specifico ?
Visualizzi le regole numerate:
Codice: Seleziona tutto
sudo iptables -vnL --line-numbers
Codice: Seleziona tutto
sudo iptables -I INPUT 1 --dport 1234 -j DROP
- Filoteo
- Entusiasta Emergente
- Messaggi: 1322
- Iscrizione: venerdì 28 agosto 2015, 9:38
- Desktop: Gnome
- Distribuzione: Arch Linux
Re: Migliorare il file di log
Vai nella pagina precedente e premi “Nuova discussione”silvio169 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5028405#p5028405][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Buongiorno
scusate la mia ignoranza
volevo sapere dove postare il mio problema.
-
- Scoppiettante Seguace
- Messaggi: 520
- Iscrizione: lunedì 11 dicembre 2017, 18:28
- Desktop: mate
- Distribuzione: Ubuntu 22.04.3 LTS Mate
Re: Migliorare il file di log
C'e' un modo per tenerne traccia? Probabilmente non è iptables lo strumento giusto.
Apro un nuovo tread?
- Filoteo
- Entusiasta Emergente
- Messaggi: 1322
- Iscrizione: venerdì 28 agosto 2015, 9:38
- Desktop: Gnome
- Distribuzione: Arch Linux
Re: Migliorare il file di log
Puoi loggare le richieste DNS con dnsmasq.Ghepus [url=https://forum.ubuntu-it.org/viewtopic.php?p=5028460#p5028460][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Suggerimento molto utile. Volevo sapere se c'è un modo per registrare le richieste di siti per esteso, mi spiego meglio, se mi collego a "forum.ubuntu-it.org" lo digito sulla barra, il browser lo invia da qualche parte per risolvere il nome.
C'e' un modo per tenerne traccia? Probabilmente non è iptables lo strumento giusto.
Apro un nuovo tread?
Crei questo file di configurazione:
Codice: Seleziona tutto
sudo nano /etc/NetworkManager/dnsmasq.d/logging.conf
Codice: Seleziona tutto
log-queries
log-facility=/var/log/dnsmasq.log
Codice: Seleziona tutto
sudo chmod 644 /var/log/dnsmasq.log
Codice: Seleziona tutto
sudo systemctl restart NetworkManager
http://www.thekelleys.org.uk/dnsmasq/do ... q-man.html
https://developer.gnome.org/NetworkMana ... .conf.html
-
- Prode Principiante
- Messaggi: 3
- Iscrizione: martedì 12 dicembre 2017, 17:24
- Sesso: Maschile
Re: Migliorare il file di log
scusa Filoteo ma (nuova discussione) non la trovo
-
- Prode Principiante
- Messaggi: 3
- Iscrizione: martedì 12 dicembre 2017, 17:24
- Sesso: Maschile
Re: Migliorare il file di log
- giulux
- Amministratore
- Messaggi: 25426
- Iscrizione: domenica 10 gennaio 2010, 12:17
- Desktop: ubuntu 18.04
- Distribuzione: Ubuntu 18.04.3 LTS x86_64
- Sesso: Maschile
- Località: Roma
Re: Migliorare il file di log
In alto a sinistra su sfondo rosso, nell'indice della sezionesilvio169 [url=https://forum.ubuntu-it.org/viewtopic.php?p=5028564#p5028564][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:buongiorno.
scusa Filoteo ma (nuova discussione) non la trovo
-
- Scoppiettante Seguace
- Messaggi: 520
- Iscrizione: lunedì 11 dicembre 2017, 18:28
- Desktop: mate
- Distribuzione: Ubuntu 22.04.3 LTS Mate
Re: Migliorare il file di log
Ottimo!Filoteo [url=http://server1.kproxy.com/servlet/redirect.srv/slxv/scs-ggbjrl/sfomkc/p2/viewtopic.php?p=5028479#p5028479][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Puoi loggare le richieste DNS con dnsmasq.Ghepus [url=https://forum.ubuntu-it.org/viewtopic.php?p=5028460#p5028460][img]https://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:Suggerimento molto utile. Volevo sapere se c'è un modo per registrare le richieste di siti per esteso, mi spiego meglio, se mi collego a "forum.ubuntu-it.org" lo digito sulla barra, il browser lo invia da qualche parte per risolvere il nome.
C'e' un modo per tenerne traccia? Probabilmente non è iptables lo strumento giusto.
Apro un nuovo tread?
Crei questo file di configurazione:Incolli questo:Codice: Seleziona tutto
sudo nano /etc/NetworkManager/dnsmasq.d/logging.conf
Se vuoi, modifica i permessi del file per leggerli da utente normale, condiderando che così qualunque utente potrà leggerlo:Codice: Seleziona tutto
log-queries log-facility=/var/log/dnsmasq.log
Riavvii NetworkManager:Codice: Seleziona tutto
sudo chmod 644 /var/log/dnsmasq.log
Riferimenti:Codice: Seleziona tutto
sudo systemctl restart NetworkManager
http://www.thekelleys.org.uk/dnsmasq/do ... q-man.html
https://developer.gnome.org/NetworkMana ... .conf.html
Ultima richiesta: per visualizzare le occorrenze univoche del file, senza dover leggere e rileggerle su tutto il file, c'è uno script o si può impostare in qualche modo il logging?
Chi c’è in linea
Visualizzano questa sezione: 0 utenti iscritti e 15 ospiti