Outils pour utilisateurs
firewall
Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
firewall [2012/11/22 19:01] nicolas Filtrage et consultation des logs |
firewall [2019/04/02 11:14] (Version actuelle) |
||
|---|---|---|---|
| Ligne 130: | Ligne 130: | ||
| iptables -A OUTPUT -j LOGGING | iptables -A OUTPUT -j LOGGING | ||
| iptables -A LOGGING -p udp --sport 67 --dport 68 -j DROP # Do not log DHCP requests from bad admins | iptables -A LOGGING -p udp --sport 67 --dport 68 -j DROP # Do not log DHCP requests from bad admins | ||
| - | iptables -A LOGGING -m limit --limit 1/min -j LOG --log-prefix "iptables dropped: " --log-level 4 | + | iptables -A LOGGING -m limit --limit 4/hour --limit-burst 2 -j LOG --log-prefix "iptables dropped: " --log-level 4 |
| iptables -A LOGGING -j DROP | iptables -A LOGGING -j DROP | ||
| Ligne 138: | Ligne 138: | ||
| ip6tables -A OUTPUT -j LOGGING | ip6tables -A OUTPUT -j LOGGING | ||
| ip6tables -A LOGGING -p icmpv6 -j DROP # Do not log dropped icmpv6 paquets | ip6tables -A LOGGING -p icmpv6 -j DROP # Do not log dropped icmpv6 paquets | ||
| - | ip6tables -A LOGGING -m limit --limit 1/min -j LOG --log-prefix "ip6tables dropped: " --log-level 4 | + | ip6tables -A LOGGING -m limit --limit 4/hour --limit-burst 2 -j LOG --log-prefix "ip6tables dropped: " --log-level 4 |
| ip6tables -A LOGGING -j DROP | ip6tables -A LOGGING -j DROP | ||
| fi | fi | ||
| Ligne 167: | Ligne 167: | ||
| ==== Filtrage des logs ==== | ==== Filtrage des logs ==== | ||
| - | Même si iptables est configuré pour ne mettre qu'un enregistrement par minute dans le fichier de log pour une même requête, le journal peut grossir considérablement à cause de requêtes inoffensives qu'il n'est pas utile de garder. C'est le cas des broadcasts DHCP que certains serveurs font à tort. Pour éviter d'enregistrer ces requêtes une règle supplémentaire est disponible dans la partie logging du script. | + | Même si iptables est configuré pour ne mettre que quatre enregistrements par heure dans le fichier de log pour une même requête, le journal peut grossir considérablement à cause de requêtes inoffensives qu'il n'est pas utile de garder. C'est le cas des broadcasts DHCP que certains serveurs font à tort. Pour éviter d'enregistrer ces requêtes une règle supplémentaire est disponible dans la partie logging du script. |
| Vous pouvez consulter les logs à l'aide de : | Vous pouvez consulter les logs à l'aide de : | ||
| ''grep "iptables dropped:" /var/log/messages | tail -n 20'' ou ''grep "ip6tables dropped:" /var/log/messages | tail -n 20'' | ''grep "iptables dropped:" /var/log/messages | tail -n 20'' ou ''grep "ip6tables dropped:" /var/log/messages | tail -n 20'' | ||
firewall.1353607306.txt.gz · Dernière modification: 2019/04/02 11:14 (modification externe)
Outils de la page
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution 4.0 International
