Loggen in der SuSEfirewall2 selektiv ausschalten
Hallo, folgende Situation: Ich habe eine Box mit FLI4L als Firewall-Router zwischen einem Linux-Desktop und einem DSL-Modem. Alle Logs der FLI4L-Box werden via syslog auf dem Linux-Desktop gespeichert. (Aus Sicherheitsgruenden ist das Filesystem der FLI4L-Box ro gemountet. Ausserdem hat das Teil sowieso keinen Bildschirm etc.) Zudem ist auch die Firewall auf dem Linux-Desktop aktiv, mit "externer" Schnittstelle zur FLI4L-Box. (Zweite Verteidigungslinie.) Diese Firewall hat lediglich _ein_ Loch fuer Verbindungen von aussen, damit die FLI4L-Box ihre Logs abliefern kann. Dieses Loch ist via FW_SERVICES_ACCEPT_EXT="192.168.3.0/30,udp,514,514" in die SuSEfirewall2 gebohrt. Soweit so gut. Leider schreibt nun die SuSEfirewall2 fuer jeden Log-Eintrag, den die FLI4L-Box durch dieses Loch sendet, einen eigenen Log-Eintrag der Form [...] kernel: SFW2-INext-ACC IN=eth1 OUT= MAC=XX:XX:XX:XX:XX:XX:ZZ:ZZ:ZZ:ZZ:ZZ:ZZ:ZZ:ZZ SRC=192.168.3.2 DST=192.168.3.1 LEN=212 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=514 DPT=514 LEN=192 Genau diese Log-Eintraege moechte ich nicht mehr sehen, alle anderen natuerlich schon. Kann man das Erzeugen dieser Eintraege selektiv in der SuSEfirewall2 abstellen? -Karl -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, 13. März 2008 20:28:22 schrieb Karl Weber:
Hallo,
folgende Situation:
Ich habe eine Box mit FLI4L als Firewall-Router zwischen einem Linux-Desktop und einem DSL-Modem.
Alle Logs der FLI4L-Box werden via syslog auf dem Linux-Desktop gespeichert. (Aus Sicherheitsgruenden ist das Filesystem der FLI4L-Box ro gemountet. Ausserdem hat das Teil sowieso keinen Bildschirm etc.)
Zudem ist auch die Firewall auf dem Linux-Desktop aktiv, mit "externer" Schnittstelle zur FLI4L-Box. (Zweite Verteidigungslinie.) Diese Firewall hat lediglich _ein_ Loch fuer Verbindungen von aussen, damit die FLI4L-Box ihre Logs abliefern kann.
Dieses Loch ist via
FW_SERVICES_ACCEPT_EXT="192.168.3.0/30,udp,514,514"
in die SuSEfirewall2 gebohrt. Soweit so gut. Leider schreibt nun die SuSEfirewall2 fuer jeden Log-Eintrag, den die FLI4L-Box durch dieses Loch sendet, einen eigenen Log-Eintrag der Form
[...] kernel: SFW2-INext-ACC IN=eth1 OUT= MAC=XX:XX:XX:XX:XX:XX:ZZ:ZZ:ZZ:ZZ:ZZ:ZZ:ZZ:ZZ SRC=192.168.3.2 DST=192.168.3.1 LEN=212 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=514 DPT=514 LEN=192
Genau diese Log-Eintraege moechte ich nicht mehr sehen, alle anderen natuerlich schon. Kann man das Erzeugen dieser Eintraege selektiv in der SuSEfirewall2 abstellen?
-Karl
Hallo filtern der Datei mit grep ist nicht das was du suchst ?? Du möchtest nur die Einträge weghaben Gruß Karl -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, 13. März 2008 schrieb Karl Weber:
(...). Genau diese Log-Eintraege moechte ich nicht mehr sehen, alle anderen natuerlich schon. Kann man das Erzeugen dieser Eintraege selektiv in der SuSEfirewall2 abstellen?
Jein. Jedenfalls nicht so schön einfach, wie du dein Loch bisher erzeugst. Aktiviere in /etc/sysconfig/SuSEfirewall2 FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom" und passe eben diese Datei an. Und zwar ist ganz am Ende eine Shell-Funktion für genau dein Problem: fw_custom_before_denyall() { # could also be named "after_forwardmasq()" # these are the rules to be loaded after IP forwarding and masquerading # but before the logging and deny all section is set by SuSEfirewall2. # You can use this hook to prevent the logging of annoying packets Dort paßt du dann die auskommentierte for-Schleife einfach auf dein Loch an. Die Regel, die dein Loch durch FW_SERVICES_ACCEPT_EXT in der Firewall normalerweise bohrt, kannst du dir ja mit iptables heraussuchen. HTH Jan -- Do not tell big lies. Small ones can be just as effective. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, 13. März 2008 22:00 schrieb Jan Ritzerfeld:
(...). Genau diese Log-Eintraege moechte ich nicht mehr sehen, alle anderen natuerlich schon. Kann man das Erzeugen dieser Eintraege selektiv in der SuSEfirewall2 abstellen?
Jein. Jedenfalls nicht so schön einfach, wie du dein Loch bisher erzeugst. Aktiviere in /etc/sysconfig/SuSEfirewall2 FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom" und passe eben diese Datei an. Und zwar ist ganz am Ende eine Shell-Funktion für genau dein Problem: fw_custom_before_denyall() { # could also be named "after_forwardmasq()" # these are the rules to be loaded after IP forwarding and masquerading # but before the logging and deny all section is set by SuSEfirewall2. # You can use this hook to prevent the logging of annoying packets
Dort paßt du dann die auskommentierte for-Schleife einfach auf dein Loch an. Die Regel, die dein Loch durch FW_SERVICES_ACCEPT_EXT in der Firewall normalerweise bohrt, kannst du dir ja mit iptables heraussuchen.
Hoert sich gut an. Ich werde es mir anschauen. Vielen Dank! Bei dieser Gelegenheit: Gibt es eine Dokumentation der SuSE Firewall, der man solche Dinge entnehmen kann? Ich habe bisher vergeblich danach gesucht. -Karl -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Freitag, 14. März 2008 schrieb Karl Weber:
(...). Bei dieser Gelegenheit: Gibt es eine Dokumentation der SuSE Firewall, der man solche Dinge entnehmen kann?
Man schaut man sich einfach die Kommentare der einzelnen Optionen in /etc/sysconfig/SuSEfirewall2 an. Dort ist der Verweis auf /SuSEfirewall2-custom ja auch schon vorhanden, nur eben auskommentiert. Ein paar Beispiele findet man in /usr/share/doc/packages/SuSEfirewall2/EXAMPLES
Ich habe bisher vergeblich danach gesucht.
Viel hat sich an der SuSEfirewall2 in den letzten Jahren eigentlich nicht getan, daher hilft vielleicht für den Einstieg folgendes Dokument: http://susefaq.sourceforge.net/guides/fw_manual.html HTH Jan -- Sometimes the fool who rushes in gets the job done. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Jan Ritzerfeld -
Karl Kehlenbrink -
Karl Weber