[ubuntu-it] File LOG Firewall

Leo Iannacone leo.iannacone a gmail.com
Mer 2 Lug 2008 02:51:36 BST 

Forse sto scrivendo un mucchio di fesserie, correggetemi se sbaglio:


I LOG mettono in ginocchio una macchina, sicuro che ti servano veramente?


Di solito sono utilizzati per monitorare la rete di un server, ma solo
per prevenire spiacevoli inconvenienti (dagli attacchi, alla saturazione
della banda...).


iptables lavora in kernel mode, quindi ha priorità maggiore rispetto
alle applicazioni utente... questo potrebbe crearti qualche problema di
prestazioni durante la navigazione. Sicuro che ti serva davvero un
firewall che per giunta di logghi tutto?



miKe ha scritto:

> Alle 11:40 di martedì 1 luglio 2008,  in merito a Re: [ubuntu-it] File LOG 
> Firewall,  Giuseppe Lantieri   ha scritto:
>
>   
>> miKe ha scritto:
>>     
>>> ma la domanda semmai è:
>>> perchè logghi il traffico ACCEPT?
>>> e, se lo fai intenzionalmente, perchè non lo differenzi?
>>>  ;)
>>>       
>> Come faccio a differenziare? Non sono molto pratico. Grazie
>> anticipatamente.
>>     
>
>
> scrivendo un pò di catene per i log prima di droppare o reinviare i 
> pacchetti per la  decisione, 
> ad esempio questo è per un proxy :
>
> $IPT -A INPUT -p ICMP -i $INET_IFACE --icmp-type 8
>  -j LOG --log-prefix "External Ping detected: "
>
> $IPT -N SSH_CHECK
> $IPT -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_CHECK
> $IPT -A SSH_CHECK -m recent --set --name SSH
> $IPT -A SSH_CHECK -m recent --update --seconds 60 --hitcount 4 \
>   --name SSH -j LOG --log-prefix "SSH info: " --log-level debug
> $IPT -A SSH_CHECK -m recent --update --seconds 60 --hitcount 4  --name 
> SSH -j DROP
>
> # ICQ 
> $IPT -A FORWARD -p UDP -s 0/0 --destination-port 4000 -j LOG \
>     --log-prefix "ICQ detected: "  --log-level debug
>
> # IRC
> $IPT -A FORWARD -p TCP -s 0/0 --destination-port 194 -j LOG \
>     --log-prefix "IRC detected: "  --log-level debug
>
> # HTTP
> $IPT -A FORWARD -p TCP -s 0/0 --destination-port 80 -m limit --limit 
> 3/minute --limit-burst 3 -j LOG     --log-prefix "Out of proxy 
> HTTP: " --log-level debug
>
> # MSN File Transfer
> for port in 6891 6892 6893 6894 6895 6896 6897 6898 6899 6900; do
> $IPT -A FORWARD -p TCP -s 0/0 --destination-port $port -j LOG \
>     --log-prefix "MSN File Transfer: "  --log-level debug
> done
>
> #mIRC DCC / IRC DCC
> $IPT -A FORWARD -p TCP -s 0/0 --destination-port 1024  -j LOG \
>     --log-prefix "mIRC  detected: " --log-level debug
> $IPT -A FORWARD -p TCP -s 0/0 --destination-port 5000  -j LOG \
>     --log-prefix "mIRC  detected: " --log-level debug
>
> #mIRC Chat
> $IPT -A FORWARD -p TCP -s 0/0 -m multiport --dports 6660,6669  -j LOG \
>     --log-prefix "mIRC  detected: " --log-level debug
>
> in questo caso alcuni log servono anche a beccare gente in transito che 
> prova a usare programmi non permessi nella policy aziendale (comunque 
> droppati dopo i log)
> nel tuo caso lo stesso sistema sarà comodo per loggare il traffico che vuoi 
> controllare, anche se ripeto, loggare in accept produce tonnellate di log 
> spesso inutili 
>
>
>
>

Maggiori informazioni sulla lista ubuntu-it