DSL traffic

[Pistiolis Konstantinos]

> [...]
>> Σοβαρά τώρα, είναι φυσιολογικό αυτό;
>> Αν έχει τόσα σκουπίδια δεν έχει νόημα να γίνονται log όλα τα κομμένα  
>> πακέτα
>> του firewall. Και σίγουρα δεν θα πρέπει να τα πετάει όλα αυτά στην  
>> κονσόλα.
>>
>> Τι κάνουμε σε τέτοιες περιπτώσεις; μπορώ να κάνω log ξεχωριστά αυτά που
>> κόβει το firewall, ώστε να μη γεμίζει το syslog άχρηστη πληροφορία;
>
> Καλησπέρα Κώστα,
>
> Το τι θα κάνεις εξαρτάται από το policy που έχεις για το εκάστοτε host.
> Στην περίπτωση αυτή ιδανική λύση θα ήταν ένα logwatch[1] ή κάτι ανάλογο,
> υπάρχουν πολλά προγράμματα ανάλογα. Επίσης δεν ξέρω πως κάνει το logging
> το firewall σου αλλά υπάρχει το ipt_ULOG[2] για userspace logging &
> analyzing. Το θέμα είναι τι δουλειά πρέπει να κάνει το firewall. Αν
Έχω πειράξει το ipmasq, προσθέτοντας δικούς μου κανόνες
Για τη σύνδεση προς τα έξω (ppp0), επιτρέπω και διαχειρίζομαι αυτά που θέλω
και όλες τις υπόλοιπες εισερχόμενες από την ppp0 συνδέσεις απλά τις
κάνω log & drop
iptables -A INPUT -i ppp0 -j LOG
iptables -A INPUT -i ppp0 -j DROP
κι αυτό μου γράφει στο /var/log/syslog και σε όποια ενεργή κονσόλα
του root (ή κονσόλα με login promt)

> θέλεις απλός να ρυθμίζει το routing και να μην έχει σχέσει με αναφορές,
> τότε χρησιμοποίησε το snort [3] το οποίο με τα filters που παρέχει το
> ...
> [1] http://www.logwatch.org/
>
> [2]
> Linux ~ # modinfo ipt_ULOG
> filename:        
> /lib/modules/2.6.15.1/kernel/net/ipv4/netfilter/ipt_ULOG.ko
> license:        GPL
> author:         Harald Welte <laforge at gnumonks.org>
> description:    iptables userspace logging module
> [...]
>
>
> [3] http://www.snort.org
>
Όπως είπες, πιο πολύ με νοιάζει το routing και όχι τόσο να παρακολουθώ
το τι ακριβώς γίνεται με το δίκτυο, ειδικά αν έρχονται συνέχεια σκουπίδια
για netbios/windows τρύπες.
Με ενδιαφέρουν όμως αυτά που είναι όντως επικίνδυνα, όπως το να μιλάει
κάποιος σε κάποιο ανοικτό port.


Ευχαριστώ πολύ για τις παραπομπές,
θα τα δω όμως αύριο γιατί έχει πάει ήδη αργά!

Φιλικά,
Κώστας