[opensuse-es] Registro del cortaguegos
Hola, ¿Hay alguna forma de configurar el registro del cortafuegos (susefirewall2) para que sólo guarde los datos de conexiones internas <-> externas? Es decir, que no registre los datos que se envían entre equipos de la red local pero sí los que sean en sentido local -> externa o externa -> local. Logré desactivar los paquetes broadcast de las impresoras y los routers pero el tráfico entre equipos de la red es enorme (no sé por qué :-?) y el /var/log/firewall registra datos cada minuto. Estoy con suse 10.3 y en /etc/sysconfig/SuSEfirewall2 sólo veo 2 campos para el control de los registros, en el apartado "16) what kind of packets should be logged"? Desactivando FW_LOG_DROP_CRIT y FW_LOG_ACCEPT_CRIT no me registra nada, que tampoco es lo que busco O:-) ¿Alguna sugerencia / idea? Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hola :) El Monday 01 December 2008, Camaleón escribió:
Hola,
�Hay alguna forma de configurar el registro del cortafuegos (susefirewall2) para que s�lo guarde los datos de conexiones internas <-> externas? Es decir, que no registre los datos que se env�an entre equipos de la red local pero s� los que sean en sentido local -> externa o externa -> local.
Logr� desactivar los paquetes broadcast de las impresoras y los routers pero el tr�fico entre equipos de la red es enorme (no s� por qu� :-?) y el /var/log/firewall registra datos cada minuto.
Estoy con suse 10.3 y en /etc/sysconfig/SuSEfirewall2 s�lo veo 2 campos para el control de los registros, en el apartado "16) what kind of packets should be logged"?
Desactivando FW_LOG_DROP_CRIT y FW_LOG_ACCEPT_CRIT no me registra nada, que tampoco es lo que busco O:-)
�Alguna sugerencia / idea?
La verdad es que no mucho, pero mira a ver los mensajes del kernel. iptables loguea como kernel ya que es parte del kernel. A lo mejor en syslog(-ng) hay algo que te pueda valer. Rafa -- "We cannot treat computers as Humans. Computers need love." rgriman@skype.com -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 1/12/08, Rafa Grimán escribió:
La verdad es que no mucho, pero mira a ver los mensajes del kernel. iptables loguea como kernel ya que es parte del kernel. A lo mejor en syslog(-ng) hay algo que te pueda valer.
En el syslog-ng está configurado para enviar los mensajes a /var/log/firewall pero no se me ocurre cómo decirle desde aquí que registre sólo actividad que involucre a una conexión externa y que descarte la red local :-? Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Y si logueas todo y grepeas lo que a vos te intereza?
El día 1 de diciembre de 2008 12:32, Camaleón
Hola,
¿Hay alguna forma de configurar el registro del cortafuegos (susefirewall2) para que sólo guarde los datos de conexiones internas <-> externas? Es decir, que no registre los datos que se envían entre equipos de la red local pero sí los que sean en sentido local -> externa o externa -> local.
Logré desactivar los paquetes broadcast de las impresoras y los routers pero el tráfico entre equipos de la red es enorme (no sé por qué :-?) y el /var/log/firewall registra datos cada minuto.
Estoy con suse 10.3 y en /etc/sysconfig/SuSEfirewall2 sólo veo 2 campos para el control de los registros, en el apartado "16) what kind of packets should be logged"?
Desactivando FW_LOG_DROP_CRIT y FW_LOG_ACCEPT_CRIT no me registra nada, que tampoco es lo que busco O:-)
¿Alguna sugerencia / idea?
Saludos,
-- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-- --------------------------------- Sebastian Juárez Mail: ssebbass@gmail.com MSN: ssebbass@vafe.com.ar ICQ: 9803305 -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 1/12/08, Sebastian Juarez escribió:
Y si logueas todo y grepeas lo que a vos te intereza?
Je, entonces es doble trabajo ;-) Lo que me interesa es "aligerar" un poco y quitarle carga de actividad... porque me está guardando datos de conexiones entre equipos locales a cada minuto y lo veo excesivo :-( Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-12-01 a las 16:20 +0100, Camaleón escribió:
El 1/12/08, Sebastian Juarez escribió:
Y si logueas todo y grepeas lo que a vos te intereza?
Je, entonces es doble trabajo ;-)
No, porque puedes poner los filtros en el propio syslog-ng, y que separe a otro archivo las conexiones procedentes del interior.
Lo que me interesa es "aligerar" un poco y quitarle carga de actividad... porque me está guardando datos de conexiones entre equipos locales a cada minuto y lo veo excesivo :-(
Lo que puedes hacer es decirle que no registre las conexiones aceptadas. La mayoría de las internas deben ser de las aceptadas, y si no lo es, es que tienes un problema. FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="yes" FW_LOG_ACCEPT_CRIT="no" FW_LOG_ACCEPT_ALL="no" así sólo registra los prohibidos. También puedes jugar con esto: FW_LOG_LIMIT="" - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkk0CnMACgkQtTMYHG2NR9WGFgCggrqHO4d7z8/Vmwhqpxefa90I +ysAnA8uVG1oJohmskqo/rkjOMV0N93c =1Bf2 -----END PGP SIGNATURE-----
El 1/12/08, Carlos E. R. escribió:
No, porque puedes poner los filtros en el propio syslog-ng, y que separe a otro archivo las conexiones procedentes del interior.
Si separa es porque lo ha registrado :-?. En este caso no me interesa dividir o filtrar sino reducir la carga y escrituras al disco.
Lo que puedes hacer es decirle que no registre las conexiones aceptadas. La mayoría de las internas deben ser de las aceptadas, y si no lo es, es que tienes un problema.
FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="yes" FW_LOG_ACCEPT_CRIT="no" FW_LOG_ACCEPT_ALL="no"
así sólo registra los prohibidos.
Voy a probar con eso a ver si logra reducir los registros.
También puedes jugar con esto:
FW_LOG_LIMIT=""
El predeterminado es "3/minute" pero me parece que no lo respeta :-/ Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-12-01 a las 17:16 +0100, Camaleón escribió:
El 1/12/08, Carlos E. R. escribió:
No, porque puedes poner los filtros en el propio syslog-ng, y que separe a otro archivo las conexiones procedentes del interior.
Si separa es porque lo ha registrado :-?.
No exactamente. Entra en memoria, siempre, tu decides donde se escribe, incluso si se escribe. Primero te conviene escribirlo aparte, dejarlo un tiempo, y estando seguro de que no interesa, lo filtras.
En este caso no me interesa dividir o filtrar sino reducir la carga y escrituras al disco.
Pues ya tienen que ser muchas escrituras, ya. Se cachean y escriben por golpes, de todas formas.
Lo que puedes hacer es decirle que no registre las conexiones aceptadas. La mayoría de las internas deben ser de las aceptadas, y si no lo es, es que tienes un problema.
FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="yes" FW_LOG_ACCEPT_CRIT="no" FW_LOG_ACCEPT_ALL="no"
así sólo registra los prohibidos.
Voy a probar con eso a ver si logra reducir los registros.
También puedes jugar con esto:
FW_LOG_LIMIT=""
El predeterminado es "3/minute" pero me parece que no lo respeta :-/
Es que tienen que ser idénticos. Y dicen que ciertas combinaciones desactivan ese limite. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkk0EdUACgkQtTMYHG2NR9VAYQCfcNiO5bA+167D3up+a6pZ5NWI 8uMAnj9OYCArKIdFYq8LJq61v88AY8jG =nIcZ -----END PGP SIGNATURE-----
El Lunes, 1 de Diciembre de 2008 15:32, Camaleón escribió:
Hola,
¿Hay alguna forma de configurar el registro del cortafuegos (susefirewall2) para que sólo guarde los datos de conexiones internas <-> externas? Es decir, que no registre los datos que se envían entre equipos de la red local pero sí los que sean en sentido local -> externa o externa -> local.
Logré desactivar los paquetes broadcast de las impresoras y los routers pero el tráfico entre equipos de la red es enorme (no sé por qué :-?) y el /var/log/firewall registra datos cada minuto.
Estoy con suse 10.3 y en /etc/sysconfig/SuSEfirewall2 sólo veo 2 campos para el control de los registros, en el apartado "16) what kind of packets should be logged"?
Desactivando FW_LOG_DROP_CRIT y FW_LOG_ACCEPT_CRIT no me registra nada, que tampoco es lo que busco O:-)
No es una solucion directa peroooo: instalate el webmin, te vas a cortafuegos linux, te traducira las reglas para verlas en el webmin, despues puedes ir viendo como estan hechas e implementarlas en el cortafueogs del yast o usar directamente el de webmin -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 1/12/08, francisco f escribió:
No es una solucion directa peroooo:
instalate el webmin, te vas a cortafuegos linux, te traducira las reglas para verlas en el webmin, despues puedes ir viendo como estan hechas e implementarlas en el cortafueogs del yast o usar directamente el de webmin
¿Webmin en suse? =:-) Nay... eso lo dejo sólo como opción en caso de que instale algún CentOS ;-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El Lunes, 1 de Diciembre de 2008 17:20, Camaleón escribió:
El 1/12/08, francisco f escribió:
No es una solucion directa peroooo:
instalate el webmin, te vas a cortafuegos linux, te traducira las reglas para verlas en el webmin, despues puedes ir viendo como estan hechas e implementarlas en el cortafueogs del yast o usar directamente el de webmin
¿Webmin en suse? =:-)
Nay... eso lo dejo sólo como opción en caso de que instale algún CentOS ;-)
miedicaaaaa :)) funciona bien, siempre y cuando lo que toques lo hagas solo con una cosa. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 1/12/08, francisco f escribió:
El Lunes, 1 de Diciembre de 2008 17:20, Camaleón escribió:
¿Webmin en suse? =:-)
^^^
miedicaaaaa :))
¿No has visto cómo se me han puesto los pelos de punta? O:-)
funciona bien, siempre y cuando lo que toques lo hagas solo con una cosa.
Pero tienes razón. Además ya va siendo hora de probarlo... me lo apunto para el "fin-de" junto con lo del iptables ¡marchando una de VM con Webmin +iptables en la suse! Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
¿Webmin en suse? =:-)
^^^
Funciona bien, sin problemas.
Pero tienes razón. Además ya va siendo hora de probarlo... me lo apunto para el "fin-de" junto con lo del iptables ¡marchando una de VM con Webmin +iptables en la suse!
No me lo puedo creer :-) Solo un par de cosas. Cuando lo instales, cámbiale el puerto que coge por defecto, el 10000 por cualquier otro, 12000 ó 13000 .... Eviitarás a los molestos "worms" que van probando contraseñas. La segunda, el módulo que gestiona IPtables es tan críptico como las propias IPtables, pero eso si, en formulario que es algo más civilizado y te dará MUCHOS problemas con el SuSEFirewall, ya que no sabe interpretarlo. O usas el SuSEFirewall o usas el IPTables de Webmin.
El 2/12/08, J.M.Queralt escribió:
¿Webmin en suse? =:-)
^^^
Funciona bien, sin problemas.
La verdad es que lo instalé ayer O:-)
Pero tienes razón. Además ya va siendo hora de probarlo... me lo apunto para el "fin-de" junto con lo del iptables ¡marchando una de VM con Webmin +iptables en la suse!
No me lo puedo creer :-)
Solo un par de cosas.
Cuando lo instales, cámbiale el puerto que coge por defecto, el 10000 por cualquier otro, 12000 ó 13000 .... Eviitarás a los molestos "worms" que van probando contraseñas.
Lo tengo en la VM y en local. Pero así, a simple vista, no tiene mala pinta ;-) Para administrar unas cuentas máquinas lo encuentro práctico... pero asusta no ver los cambios que hace (no ves qué archivos toca, ni qué valores cambia... podría indicarlo (¿no tiene un modo verboso? :-?). Y SuSE es muy "tiquismiquis" con eso. Si sabes lo que haces, parece una buena opción. Y creo que hay modulitos para cyrus, amavisd-new... ¿hylafax? :-)~
La segunda, el módulo que gestiona IPtables es tan críptico como las propias IPtables, pero eso si, en formulario que es algo más civilizado y te dará MUCHOS problemas con el SuSEFirewall, ya que no sabe interpretarlo. O usas el SuSEFirewall o usas el IPTables de Webmin.
Esto creo que lo voy a tener que hacer al estilo manual. Y por estilo "manual" quiero decir, además de hacerlo "a mano", a leerse el manual de iptables :-P Estoy a un "tris" de parar el cortafuegos o de decirle que no registre nada, pero debo tener paciencia... Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Lo tengo en la VM y en local. Pero así, a simple vista, no tiene mala pinta ;-)
Tiene módulos para cambiar el tema y también el idioma. El tema que lleva por defecto, parami gusto, queda como muy antiguo.
Para administrar unas cuentas máquinas lo encuentro práctico... pero asusta no ver los cambios que hace (no ves qué archivos toca, ni qué valores cambia... podría indicarlo (¿no tiene un modo verboso? :-?). Y SuSE es muy "tiquismiquis" con eso.
El archivo (s) si acostumbra (n) a verse, los tienes en "configuración del módulo". Además en la mayoría de los módulos existe la opción de editar los ficheros de configuración manualmente, con lo cual también sabes cuales son y donde están situados.
Si sabes lo que haces, parece una buena opción. Y creo que hay modulitos para cyrus, amavisd-new... ¿hylafax? :-)~
Si, la lista de módulos es muy extensa y completa. Hay dos tipos de módulos, los "standard" desarrollados por el mismo equipo de Webmin y los de "terceros". Los "standard" los tienes en: http://www.webmin.com/standard.html y una lista completa de todos, incluidos los stadndard en: http://www.webmin.com/cgi-bin/search_third.cgi?modules=1 Todos son instalables con un solo "click" desde el mismo webmin y los programas que gestionan también.
El 2/12/08, J.M.Queralt escribió:
Tiene módulos para cambiar el tema y también el idioma. El tema que lleva por defecto, parami gusto, queda como muy antiguo.
El que pone la versión 1.441es majo :-?
El archivo (s) si acostumbra (n) a verse, los tienes en "configuración del módulo".
Esto tengo que verlo con calma, porque no lo encuentro.
Además en la mayoría de los módulos existe la opción de editar los ficheros de configuración manualmente, con lo cual también sabes cuales son y donde están situados.
El de Postfix, por ejemplo, en el apartado "General Options" puedes cambiar los valores de manera sencilla pero no te dice qué archivo estás modificando ni cómo queda el archivo de configuración tras modificar (me gustaría algo similar a un "diff"). Pero sólo veo un "save and apply" y nada más :-? Acabo de cambiar un valor, guardo y aplico y... ¿qué es lo que ha hecho? No dice "ná", me devuelve a la pantalla de configuración de Postfix >:-)
Si, la lista de módulos es muy extensa y completa. Hay dos tipos de módulos, los "standard" desarrollados por el mismo equipo de Webmin y los de "terceros".
Los "standard" los tienes en:
http://www.webmin.com/standard.html
y una lista completa de todos, incluidos los stadndard en:
http://www.webmin.com/cgi-bin/search_third.cgi?modules=1
Todos son instalables con un solo "click" desde el mismo webmin y los programas que gestionan también.
No está mal, la verdad, pero lo tengo que revisar con tiempo. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2/12/08, J.M.Queralt escribió:
lleva por defecto, parami gusto, queda como muy antiguo.
El que pone la versión 1.441es majo :-?
Lo de los gustos siempre es subjetivo. Seguramente te referirás al "Blue Framed Theme". Antes por defecto montaba el "MSC.Linux Theme".
El archivo (s) si acostumbra (n) a verse, los tienes en "configuración del módulo".
Esto tengo que verlo con calma, porque no lo encuentro.
Acostumbra a ser un enlace situado en la parte superior izquierda del módulo.
Además en la mayoría de los módulos existe la opción de editar los ficheros de configuración manualmente, con lo cual también sabes cuales son y donde están situados.
El de Postfix, por ejemplo, en el apartado "General Options" puedes cambiar los valores de manera sencilla pero no te dice qué archivo estás modificando ni cómo queda el archivo de configuración tras modificar (me gustaría algo similar a un "diff"). Pero sólo veo un "save and apply" y nada más :-?
Si, pero siguiendo con el mismo ejemplo, fíjate que la última opción del módulo es "Edición de los ficheros de configuración". Si entras en ella verás que puedes editar manualmente los ficheros de configuración de Postfix: /etc/postfix/main.cf y master.cf Es más, a pesar de que el módulo es muy completo, yo siempre he tenido que acabar retocándolos "a mano".
Acabo de cambiar un valor, guardo y aplico y... ¿qué es lo que ha hecho? No dice "ná", me devuelve a la pantalla de configuración de Postfix >:-)
Igualico que con el YAST. :-)
No está mal, la verdad, pero lo tengo que revisar con tiempo.
Buff !!, si te cuento la "depre" que pillé la primera vez que me lo pusieron delante .....
El 2/12/08, J.M.Queralt escribió: Yo escribí:
Acabo de cambiar un valor, guardo y aplico y... ¿qué es lo que ha hecho? No dice "ná", me devuelve a la pantalla de configuración de Postfix >:-)
Igualico que con el YAST. :-)
Je... pero con una sutil diferencia. YaST (generalmente :-P) sabe lo que debe escribir y dónde. Y yo sé dónde escribe YaST cuando hago modificaciones en Postfix. Hasta he visto comentarios en los archivos que dicen "##Modified by YaST## con la fecha y todo :-) Webmin es multi-distro (el paquete rpm vale para mandrake, fedora y suse...) y no tiene por qué saber cómo se hacen las cosas específicamente en SuSE ni yo sé dónde toca O:-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
YaST (generalmente :-P) sabe lo que debe escribir y dónde. Y yo sé dónde escribe YaST cuando hago modificaciones en Postfix.
Si te acostumbraras a trabajar con Webmin lo sabrías exactamente igual. :-)
Webmin es multi-distro (el paquete rpm vale para mandrake, fedora y suse...) y no tiene por qué saber cómo se hacen las cosas específicamente en SuSE ni yo sé dónde toca O:-)
Sip, vale para tropecientas mil distribuciones, pero .... también detecta la distribución que estás usando y la mayoría de "peculiaridades" de esta.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-12-02 a las 10:00 +0100, Camaleón escribió: [webmin]
Para administrar unas cuentas máquinas lo encuentro práctico... pero asusta no ver los cambios que hace (no ves qué archivos toca, ni qué valores cambia... podría indicarlo (¿no tiene un modo verboso? :-?). Y SuSE es muy "tiquismiquis" con eso.
El yast tampoco te dice que es lo que ha tocado. Y muchos cambios en suse se pueden hacer en /etc/sysconfig/*; luego se ejecuta "SuSEconfig", con lo que se aplican. Para duplicar la configuración, puedes copiar ese directorio. Si el webmin toca directamente los archivos de configuración en vez del sysconfig, es incompatible con el yast, y tienes que recordar que administrador has usado para cada cosa en cada máquina para no liarla.
Estoy a un "tris" de parar el cortafuegos o de decirle que no registre nada, pero debo tener paciencia...
¿No probaste a cambiar lo que te dije? Es que es para eso. Normalmente no interesa registrar los intentos de conexión exitosos. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkk1G3kACgkQtTMYHG2NR9XXkACeINgMTmqwbN2AyvBrlLlplton veEAn3AG6C6ZXt0Oi8IKvPfzz4SW9uzl =DeWW -----END PGP SIGNATURE-----
El 2/12/08, Carlos E. R. escribió:
El yast tampoco te dice que es lo que ha tocado.
En la lista de factory era una de las cosas que solicitaban, que yast fuera "didáctico" :-) Pero el yast lo uso cada vez menos... sólo para cosas de suse y muy concretas (hardware o configuración de servicios) pero para configurar aplicaciones... pues no, edito a mano (ni el módulo de postfix he iniciado aún, no sé cómo es...).
Y muchos cambios en suse se pueden hacer en /etc/sysconfig/*; luego se ejecuta "SuSEconfig", con lo que se aplican. Para duplicar la configuración, puedes copiar ese directorio. Si el webmin toca directamente los archivos de configuración en vez del sysconfig, es incompatible con el yast, y tienes que recordar que administrador has usado para cada cosa en cada máquina para no liarla.
Por eso me lo estoy pensando... pero no descarto ponerlo (webmin) en algún equipo. Aún estoy esperando un módulo de yast para Cyrus (y no, no me digas que me ponga la sles para éso...) >:-)
¿No probaste a cambiar lo que te dije? Es que es para eso. Normalmente no interesa registrar los intentos de conexión exitosos.
Sí... lo tengo puesto. Pero no se "cosca" de nada. A ver, en un equipo tengo abierto los puertos 25/110 para el correo y necesito ver esas conexiones que pasan (por si...) y no las veo. En otro equipo (escritorio) sólo me registra fallos de peticiones salientes y los malditos paquetes multicast de los routers :-/ *** Dec 2 11:43:00 stthpc kernel: SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.0.8 DST=63.245.209.120 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=29492 DF PROTO=TCP SPT=256 Dec 2 11:43:00 stthpc kernel: SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.0.8 DST=63.245.209.120 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=25531 DF PROTO=TCP SPT=256 Dec 2 11:43:00 stthpc kernel: SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.0.8 DST=63.245.209.120 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=42807 DF PROTO=TCP SPT=256 Dec 2 11:43:00 stthpc kernel: SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.0.8 DST=63.245.209.120 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=50924 DF PROTO=TCP SPT=256 Dec 2 11:43:00 stthpc kernel: SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.0.8 DST=63.245.209.120 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=5926 DF PROTO=TCP SPT=2566 *** No me dice nada :-/ *** Dec 2 12:03:36 stthpc kernel: SFW2-INext-DROP IN=eth0 OUT= MAC=01:00:5e:00:00:01:xxx SRC=192.168.0.79 DST=224.0.0.1 LEN=28 TOS=0x00 PRE Dec 2 12:05:11 stthpc kernel: SFW2-INext-DROP IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:4xxx SRC=192.168.0.99 DST=224.0.0.1 LEN=28 TOS=0x00 PRE Dec 2 12:05:26 stthpc kernel: SFW2-INext-DROP IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:40:43:xxx SRC=192.168.0.69 DST=224.0.0.1 LEN=28 TOS=0x00 PRE *** Esto que ves arriba, cada 2 minutos... Tengo que empezar desde cero, activar de nuevo todo y revisar el manual de iptables para configurarlo "fino". Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-12-02 a las 12:46 +0100, Camaleón escribió:
El 2/12/08, Carlos E. R. escribió:
El yast tampoco te dice que es lo que ha tocado.
En la lista de factory era una de las cosas que solicitaban, que yast fuera "didáctico" :-)
Pero el yast lo uso cada vez menos... sólo para cosas de suse y muy concretas (hardware o configuración de servicios) pero para configurar aplicaciones... pues no, edito a mano (ni el módulo de postfix he iniciado aún, no sé cómo es...).
Yo lo uso casi siempre para la configuración inicial de lo que sea, y luego la toco a mano.
Por eso me lo estoy pensando... pero no descarto ponerlo (webmin) en algún equipo.
Aún estoy esperando un módulo de yast para Cyrus (y no, no me digas que me ponga la sles para éso...) >:-)
Pero si no has probado el módulo de yast del correo, no sabes ni lo que lleva :-P
¿No probaste a cambiar lo que te dije? Es que es para eso. Normalmente no interesa registrar los intentos de conexión exitosos.
Sí... lo tengo puesto. Pero no se "cosca" de nada.
A ver, en un equipo tengo abierto los puertos 25/110 para el correo y necesito ver esas conexiones que pasan (por si...) y no las veo. En otro equipo (escritorio) sólo me registra fallos de peticiones salientes y los malditos paquetes multicast de los routers :-/
Esas estarían entre las conexiones críticas aceptadas (FW_LOG_ACCEPT_CRIT).
*** Dec 2 11:43:00 stthpc kernel: SFW2-OUT-ERROR IN= OUT=eth0 SRC=192.168.0.8 DST=63.245.209.120 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=29492 DF PROTO=TCP SPT=256
...
No me dice nada :-/
Ojo, que esto son errores, no conexiones rechazadas/aceptadas. Son otra regla, y no hay nada para ponerlas o quitarlas: son errrores.
*** Dec 2 12:03:36 stthpc kernel: SFW2-INext-DROP IN=eth0 OUT= MAC=01:00:5e:00:00:01:xxx SRC=192.168.0.79 DST=224.0.0.1 LEN=28 TOS=0x00 PRE Dec 2 12:05:11 stthpc kernel: SFW2-INext-DROP IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:4xxx SRC=192.168.0.99 DST=224.0.0.1 LEN=28 TOS=0x00 PRE Dec 2 12:05:26 stthpc kernel: SFW2-INext-DROP IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:40:43:xxx SRC=192.168.0.69 DST=224.0.0.1 LEN=28 TOS=0x00 PRE ***
Esto que ves arriba, cada 2 minutos...
Y eso... eso no se lo que es, pero tampoco entra en esa norma. Son drop, ¿pero de que? ¿Lo has cortado por la derecha?
Tengo que empezar desde cero, activar de nuevo todo y revisar el manual de iptables para configurarlo "fino".
Recuerda que en el susefirewall hay sitio para reglas "amanuenses". - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkk1I8IACgkQtTMYHG2NR9WRTwCfceQRV0p+bGMIwOyM2RQgxK6f kz4AniK3RGweCvHmvrLGxqggfv7Yq3Eg =cNw4 -----END PGP SIGNATURE-----
El 2/12/08, Carlos E. R. escribió:
Yo lo uso casi siempre para la configuración inicial de lo que sea, y luego la toco a mano.
Correcto. La primera vez. Cuando ya lo conoces (la aplicación, el servicio...), ni abres el yast :-P
Pero si no has probado el módulo de yast del correo, no sabes ni lo que lleva :-P
Porque no sabes lo raro que es el cyradm y el sieveshell... si el yast tuviera algún módulo de gestión para éstos en opensuse, saldría en la portada del Gugle <|:-)
Esas estarían entre las conexiones críticas aceptadas (FW_LOG_ACCEPT_CRIT).
Pero ¿qué son "críticas" para el cortafuegos? Comparando con los registros anteriores, ahora tengo menos datos de las conexiones :-?
Ojo, que esto son errores, no conexiones rechazadas/aceptadas. Son otra regla, y no hay nada para ponerlas o quitarlas: son errrores.
Sí, estos registros no me importan... pero es que no veo ninguno más que involucre a equipos remotos :-?
Y eso... eso no se lo que es, pero tampoco entra en esa norma. Son drop, ¿pero de que? ¿Lo has cortado por la derecha?
Son paquetes multicast de los routers... ¿cortado a la derecha? no conscientemente (sólo la mac). Espera. *** Dec 2 13:08:12 stthpc kernel: SFW2-INext-DROP IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:40:xxx SRC=192.168.0.79 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=2 Dec 2 13:09:46 stthpc kernel: SFW2-INext-DROP IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:40:xxx SRC=192.168.0.99 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=2 Dec 2 13:10:02 stthpc kernel: SFW2-INext-DROP IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:40:xxx SRC=192.168.0.69 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=2 ***
Recuerda que en el susefirewall hay sitio para reglas "amanuenses".
¿Relacionado con los registros? :-? Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-12-02 a las 13:19 +0100, Camaleón escribió:
El 2/12/08, Carlos E. R. escribió:
Yo lo uso casi siempre para la configuración inicial de lo que sea, y luego la toco a mano.
Correcto. La primera vez.
Cuando ya lo conoces (la aplicación, el servicio...), ni abres el yast :-P
No, yo siempre, porque me lo deja en un estado conocido, y a menudo funcional (hay excepciones, como el samba en mi caso).
Pero si no has probado el módulo de yast del correo, no sabes ni lo que lleva :-P
Porque no sabes lo raro que es el cyradm y el sieveshell... si el yast tuviera algún módulo de gestión para éstos en opensuse, saldría en la portada del Gugle <|:-)
Yo lo que sé es que hay algo, porque lo he traducido. Lo que no sé es donde está. ¿No será lo del modo experto ese?
Esas estarían entre las conexiones críticas aceptadas (FW_LOG_ACCEPT_CRIT).
Pero ¿qué son "críticas" para el cortafuegos? Comparando con los registros anteriores, ahora tengo menos datos de las conexiones :-?
Crítico son las conexiones a un puerto por debajo del 1024. Es una definición. Son los puertos que sólo puedes escuchar si eres root cuando lo abres.
Ojo, que esto son errores, no conexiones rechazadas/aceptadas. Son otra regla, y no hay nada para ponerlas o quitarlas: son errrores.
Sí, estos registros no me importan... pero es que no veo ninguno más que involucre a equipos remotos :-?
Pues no habrá. Si tienes el cortafuegos del router delante, ves muy pocos.
Y eso... eso no se lo que es, pero tampoco entra en esa norma. Son drop, ¿pero de que? ¿Lo has cortado por la derecha?
Son paquetes multicast de los routers... ¿cortado a la derecha? no conscientemente (sólo la mac). Espera.
*** Dec 2 13:08:12 stthpc kernel: SFW2-INext-DROP IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:40:xxx SRC=192.168.0.79 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=2
Ah, pues eso, entonces no entran en la regla de lo que se loguea o no. Es que es otro protocolo, incluso. Lo más fácil, para mi, es mandarlo a otro registro. Bueno, todo el cortafuegos va a otro registro, es cuestion de afinarlo.
Recuerda que en el susefirewall hay sitio para reglas "amanuenses".
¿Relacionado con los registros? :-?
Con lo que sea... son las custom rules. El problema es saber hacerlo. Yo no se. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkk1K64ACgkQtTMYHG2NR9V58wCfTWMHH0cPdr/mqpPzZa+42rLc i04AnRagimrRRsa4SB3w70AAcLME26iN =J82e -----END PGP SIGNATURE-----
El 2/12/08, Carlos E. R. escribió:
No, yo siempre, porque me lo deja en un estado conocido, y a menudo funcional (hay excepciones, como el samba en mi caso).
El problema es que no tienes módulos para todo, así que guste o no, hay que tirar de la edición manual en algún momento... o de herramientas como webmin.
Yo lo que sé es que hay algo, porque lo he traducido. Lo que no sé es donde está. ¿No será lo del modo experto ese?
Creo que no hay nada para opensuse. En la sles, sí. Lo del modo experto creo que tenía relación con ldap :-?
Crítico son las conexiones a un puerto por debajo del 1024. Es una definición. Son los puertos que sólo puedes escuchar si eres root cuando lo abres.
Ah, pues entonces debería encontrar algún registro más :-?
Pues no habrá. Si tienes el cortafuegos del router delante, ves muy pocos.
Tengo el nat activado, pero estos routers no llevan cortafuegos, son los antiguos modelos para líneas rdsi (Nokia m1112)... y por cierto, tengo que jubilarlos.
Ah, pues eso, entonces no entran en la regla de lo que se loguea o no. Es que es otro protocolo, incluso. Lo más fácil, para mi, es mandarlo a otro registro. Bueno, todo el cortafuegos va a otro registro, es cuestion de afinarlo.
Trataré de eliminar este tipo de paquetes del registro manipulando directamente desde iptables.
Con lo que sea... son las custom rules. El problema es saber hacerlo. Yo no se.
Lo miraré también :-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hola,
¿Hay alguna forma de configurar el registro del cortafuegos (susefirewall2) para que sólo guarde los datos de conexiones internas <-> externas? Es decir, que no registre los datos que se envían entre equipos de la red local pero sí los que sean en sentido local -> externa o externa -> local.
Logré desactivar los paquetes broadcast de las impresoras y los routers pero el tráfico entre equipos de la red es enorme (no sé por qué :-?) y el /var/log/firewall registra datos cada minuto.
Estoy con suse 10.3 y en /etc/sysconfig/SuSEfirewall2 sólo veo 2 campos para el control de los registros, en el apartado "16) what kind of packets should be logged"?
Desactivando FW_LOG_DROP_CRIT y FW_LOG_ACCEPT_CRIT no me registra nada, que tampoco es lo que busco O:-)
¿Alguna sugerencia / idea?
Saludos,
-- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Supongo que vas a tener que hacer un trabajo manual. Las lineas que se loguen en /var/log/firewall son aquellas donde la accion es LOG. Lo que vas a tener que hacer es suprimir aquellas lineas del firewall que LOGueen aquellas cosas que no te estan interesando. Haciendo iptables-save vas a poder obtener todas las reglas asociadas al firewall. Las reglas que digan algo de '-j LOG' son candidatas, luego vendra un trabajo de eliminacion y prueba. Empeza eliminando las mas "obvias", por ejemplo ahora en mi 10.1 veo una linea asi: -A INPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-IN-ILL-TARGET " que simplemente loguea *todo* el trafico entrante. No se que version traiga el 10.3, pero supongo que tendra cosas parecidas a esta, las cuales podes ir descartando (total, el -j LOG solo hace eso, no descarta ni acepta el paquete en cuestion). Luego podes pasar el archivo con las reglas eliminadas con un iptables-restore. Como veras, nunca use el firewall de Suse, asi que no puedo decir como modificarlo desde ahi, pero comprendiendo la idea supongo que vas a poder modificarlo ^^ Saludos. Gerardo -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 1/12/08, gherzig escribió:
Supongo que vas a tener que hacer un trabajo manual.
Pues supongo que sí porque modificando las opciones del susefirewall2 no me registra conexiones externas :-P. Lo voy a dejar más tiempo con esta configuración para poder comparar los registros actuales con los días anteriores, pero creo que no me va a servir.
Las lineas que se loguen en /var/log/firewall son aquellas donde la accion es LOG. Lo que vas a tener que hacer es suprimir aquellas lineas del firewall que LOGueen aquellas cosas que no te estan interesando.
Hum...
Haciendo iptables-save vas a poder obtener todas las reglas asociadas al firewall. Las reglas que digan algo de '-j LOG' son candidatas, luego vendra un trabajo de eliminacion y prueba.
Tengo ésto: stthpc:/home/hpc02 # iptables -L | grep LOG LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET ' LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWD-ILL-ROUTING ' LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-OUT-ERROR ' LOG igmp -- anywhere anywhere state NEW limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP ' LOG tcp -- anywhere anywhere tcp dpt:113 state NEW limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-REJECT ' LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT ' Pero la verdad es que no tengo ni idea de qué es cada opción :-?
Empeza eliminando las mas "obvias", por ejemplo ahora en mi 10.1 veo una linea asi:
-A INPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-IN-ILL-TARGET " que simplemente loguea *todo* el trafico entrante. No se que version traiga el 10.3, pero supongo que tendra cosas parecidas a esta, las cuales podes ir descartando (total, el -j LOG solo hace eso, no descarta ni acepta el paquete en cuestion).
Hum... ¿con ese comando (-a input) añado o modifico las opciones para el registro del cortafuegos?
Luego podes pasar el archivo con las reglas eliminadas con un iptables-restore.
Como veras, nunca use el firewall de Suse, asi que no puedo decir como modificarlo desde ahi, pero comprendiendo la idea supongo que vas a poder modificarlo ^^
Me voy a leer el manual del iptables y a activar el cortafuegos en la VM para hacer pruebas con ésto, creo que será lo mejor, porque se me queda un poco grande hacerlo a mano :-P Saludos y gracias, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (7)
-
Camaleón
-
Carlos E. R.
-
francisco f
-
gherzig@fmed.uba.ar
-
J.M.Queralt
-
Rafa Grimán
-
Sebastian Juarez