Manfred Tremmel wrote:
Am Montag, 6. März 2000 13:13 schrieb Manuel Jenne:
wie kann ich mir jedes Paket der einzelnes Chains anzeigen lassen? Also ich habe mit ipchains -P input DENY die policy auf Deny gesezt nun möchte ich aber trozdem sehen, welche Pakete abgelehnt werden.
man ipchains
-> Option: -l
Mit -l beim Setzen einer Regel kann man das Logging für alle Pakete einschalten, die auf diese Regel passen. Ich habe die Frage aber eher so verstanden, daß nach einer Möglichkeit gesucht wird, die Pakete zu loggen, die nicht durch eine Regel sondern aufgrund der Policy behandelt werden. Und das läßt sich AFAIK auch mit -l nicht bewerkstelligen. Die Lösung muß wohl so aussehen, daß am Ende der Chain eine Regel mit Logging steht, die alle Pakete so behandelt, wie es die Policy täte. Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org - eilert@linuxfreak.com http://www.informatik.uni-bremen.de/~eilert/
On Freitag, 9. März 2001 00:06 Eilert Brinkmann wrote:
Manfred Tremmel wrote:
Am Montag, 6. März 2000 13:13 schrieb Manuel Jenne:
wie kann ich mir jedes Paket der einzelnes Chains anzeigen lassen? Also ich habe mit ipchains -P input DENY die policy auf Deny gesezt nun möchte ich aber trozdem sehen, welche Pakete abgelehnt werden.
man ipchains
-> Option: -l
Mit -l beim Setzen einer Regel kann man das Logging für alle Pakete einschalten, die auf diese Regel passen. Ich habe die Frage aber eher so verstanden, daß nach einer Möglichkeit gesucht wird, die Pakete zu loggen, die nicht durch eine Regel sondern aufgrund der Policy behandelt werden. Und das läßt sich AFAIK auch mit -l nicht bewerkstelligen.
ACK. "-P" und "-l" zusammen ergeben einen Fehler.
Die Lösung muß wohl so aussehen, daß am Ende der Chain eine Regel mit Logging steht, die alle Pakete so behandelt, wie es die Policy täte.
ACK. Nochmal zusammenfassend: Die DENY-Policy gehört ganz an den Anfang des Skriptes, um sicherzustellen, dass diese schon gesetzt ist, wenn das Skript z.B. durch einen Syntaxfehler aussteigt. Die default-Policy ist nämlich ACCEPT und hätte bei einem Skriptabbruch zur Folge, dass das Paket, auf das bis zum Abbruch keine Regel zugetroffen hat, durchgelassen wird. Bei ipchains heißt es etwas salopp "die erste passende Regel gewinnt". So kann man als letzte Regel einer jeden Chain - wie Eilert ja gesagt hat, ich möchte das nur für Manuel am Beispiel illustrieren - eine Regel anhängen, die jedes Paket, das bis dahin vorgedrungen ist, verwirft und loggt. Beispiel für die Input-Chain: ipchains -P input DENY # Policy setzen [hier alle Regeln] --> Sobald eine zutrifft, wird sie auf das Paket angewandt. | | Keine Regel hat gepasst, daher als letzte Regel: | ipchains -A input -j DENY -l # Das Paket ist bis hierher # vorgedrungen, jetzt wird es ver- # worfen und geloggt. Gruß, Stephan -- Stephan Hakuli | mailto: stephan@hakuli.de | * GnuPG/PGP-Key * | callto: 01 71 - 651 89 43 | available, please | surfto: http://www.hakuli.de | visit my homepage *Homepage updated: Short survey on SSH-login with 'authorized_keys'*
Die Lösung muß wohl so aussehen, daß am Ende der Chain eine Regel mit Logging steht, die alle Pakete so behandelt, wie es die Policy täte.
ACK. Nochmal zusammenfassend: Die DENY-Policy gehört ganz an den Anfang des Skriptes, um sicherzustellen, dass diese schon gesetzt ist, wenn das Skript z.B. durch einen Syntaxfehler aussteigt. Die default-Policy ist nämlich ACCEPT und hätte bei einem Skriptabbruch zur Folge, dass das Paket, auf das bis zum Abbruch keine Regel zugetroffen hat, durchgelassen wird. Bei ipchains heißt es etwas salopp "die erste passende Regel gewinnt". So kann man als letzte Regel einer jeden Chain - wie Eilert ja gesagt hat, ich möchte das nur für Manuel am Beispiel illustrieren - eine Regel anhängen, die jedes Paket, das bis dahin vorgedrungen ist, verwirft und loggt.
Beispiel für die Input-Chain:
ipchains -P input DENY # Policy setzen
[hier alle Regeln] --> Sobald eine zutrifft, wird sie auf das Paket angewandt. | | Keine Regel hat gepasst, daher als letzte Regel: |
ipchains -A input -j DENY -l # Das Paket ist bis hierher # vorgedrungen, jetzt wird es ver- # worfen und geloggt.
Gruß, Stephan
Danke, das ist wohl die einzige möglichkeit die es mit ipchains gibt. Ich habe mir nun mit verschiedenen Netzwerkmonitoren weitergeholfen wie z.B. iptraf.
participants (3)
-
Eilert Brinkmann -
Manuel Jenne -
Stephan Hakuli