iptables che registrano inondazioni / var / log / messaggi

Sto eseguendo Ubuntu Server, piuttosto recente, che è impostato come router NAT.

Ho un script iptables che viene eseguito durante l'avvio per impostare NAT, inoltro port, ecc.

Sto cercando di diagnosticare un problema non correlato con la casella, ma / var / log / messages, / var / log / syslog e /var/log/kern.log sono tutti inondati di messaggi da iptables come questo:

Oct 21 11:25:27 skip kernel: [39380.812663] INPUT packet died: IN=eth1 OUT= MAC=00:40:63:d9:7c:5b:00:03:fa:a9:d7:4a:08:00 SRC=24.207.21.237 DST=94.192.123.123 LEN=111 TOS=0x00 PREC=0x00 TTL=54 ID=16494 PROTO=UDP SPT=48865 DPT=20663 LEN=91 

Non riesco a trovare una documentazione che chiarisca come cambiare il modo in cui i registri di iptables eseguono l'output. Quello che voglio idealmente è per NONE delle cose iptables per andare a uno dei file sopra, ma invece a / var / log / iptables.

  • Fail2Ban cerca di bloccare correttamente IP ma IP non viene bandito - la catena iptables esiste ma non funziona
  • L'installazione di un server Ubuntu 13.04 a 64 bit non riesce con "Imansible installare busybox-initramfs"
  • È questo un segno di morte hard drive?
  • La scheda SD non verrà montata su Ubuntu 9.04
  • Consentire a apache di accedere a più volumi in AWS
  • Disabilitare l'uso di console-kit-daemon in Ubuntu
  • Che cosa è l'utente MySQL di debian-sys-maint (e altro ancora)?
  • Ubuntu Server Hotswap RAID 1: hardware o software?
  • 2 Solutions collect form web for “iptables che registrano inondazioni / var / log / messaggi”

    È lo script. Rimuovere la logging.

    Se si desidera veramente i registri (e se non li leggete, allora perché preoccupatevi?) Quindi utilizzare ULOGD:

    http://www.netfilter.org/projects/ulogd/index.html

    Non riesco a trovare una documentazione che chiarisca come cambiare il modo in cui i registri di iptables eseguono l'output. Quello che voglio idealmente è per NONE delle cose iptables per andare a uno dei file sopra, ma invece a / var / log / iptables.

    Per impostazione predefinita roba di iptables viene inviata a syslog con una function di kern e una priorità di informazioni.

    Potresti scegliere di passare a un syslog più avanzato e poi creare un filter basato su un model, oppure puoi submit tutti i file di kern.info a / var / log / iptables. Puoi get cose diverse da iptables nel tuo registro di iptables.

    Supponendo di non aver già sostituito il syslog installato. Potresti desiderare di apportre modifiche come il vuoto dalla differenza di seguito.

     --- syslog.conf 2008-08-29 17:40:57.000000000 -0700 +++ syslog.conf.tmp 2009-10-21 10:06:14.000000000 -0700 @@ -8,14 +8,17 @@ # auth,authpriv.* /var/log/auth.log -*.*;auth,authpriv.none -/var/log/syslog +*.*;kern.!info;\ + auth,authpriv.none -/var/log/syslog #cron.* /var/log/cron.log daemon.* -/var/log/daemon.log -kern.* -/var/log/kern.log +kern.*;kern.!info -/var/log/kern.log lpr.* -/var/log/lpr.log mail.* -/var/log/mail.log user.* -/var/log/user.log +kern.info -/var/log/iptables.log + # # Logging for the mail system. Split it up so that # it is easy to write scripts to parse these files. @@ -37,6 +40,7 @@ auth,authpriv.none;\ news.none;mail.none -/var/log/debug *.=info;*.=notice;*.=warning;\ + kern.!info;\ auth,authpriv.none;\ cron,daemon.none;\ mail,news.none -/var/log/messages 

    Modificando le proprie regole iptables è ansible modificare la priorità delle voci di registro inviate al syslog e aggiungere un prefisso per filtrare con un syslog più avanzato.

    Oppure puoi utilizzare l'objective ULOG come LapTop006 menzionato e poi passarlo a un demone dello spazio utente come ulogd , spettro o altri.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.