Логирование пакетов iptables

[kbu]

Подскажите пожалуйста как вести в iptables лог, если политика по умолчанию DROP.

Я вычитал что правило логирования необходимо вставлять перед отбраковкой пакета, а как быть в моем случае, если я политику по умолчанию выставил DROP и пишу правила только на ACCEPT..

спасибо!

[fisher74]

Добавляйте правила логгирования перед ACCEPT и пребудет Вам щастье.

[kbu]

А ларчик открывался просто..))Спасибо!!
Пользователь решил продолжить мысль 02 Ноября 2011, 23:54:02:А еще вопрос: если к примеру ведется лог коннекта к ссш из инета, то я заметил что логируется каждый пакет..А можно сделать так, чтобы к примеру писался только первый пакет, чтобы просто было видно с какого ипишника был коннект и все?

[aSmile]

А еще вопрос: если к примеру ведется лог коннекта к ссш из инета, то я заметил что логируется каждый пакет..А можно сделать так, чтобы к примеру писался только первый пакет, чтобы просто было видно с какого ипишника был коннект и все?

А в auth.log нельзя смотреть?

[AnrDaemon]

Зачем логировать пакеты, которые разрешены политикой? >.< Непонимаю.

[kbu]

2 AnrDaemon
Ну хотя бы для того, чтобы знать кто конектился на ссш кроме меня или кто получал почту из инета.
Пользователь решил продолжить мысль 03 Ноября 2011, 12:09:14:Я очень благодарен за критику!!Но,мы немножко отошли от темы)

Можно ли все-таки сделать так,чтобы логировался только первый пакет?

[fisher74]

Обычно первым правилом ставится разрешение на установленные соединения.

[kbu]

Немножко не понял как это относится ко мне...

у меня есть правило на разрешение подключения по ссш к серверу, перед ним стоит логирование этих подключений. В логе я вижу что идет запись каждого входящего пакета по ссш, можно ли как-нибудь ограничить количество логированных пакетов для одной сессии?
Пользователь решил продолжить мысль 03 Ноября 2011, 12:52:27:2 fisher74

кажись понял о чем Вы! Вы предлагаете разбить подключение к ссш на syn,syn/ack,ack?
И логировать только syn?

[fisher74]

Я предлагаю первым поставить правило

Код: [Выделить]

sudo iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPTкак это обычно делается.

[AnrDaemon]

2 AnrDaemon
Ну хотя бы для того, чтобы знать кто конектился на ссш кроме меня или кто получал почту из инета.

SSH - auth_log, уже сказали.
Почту могут получать и через браузер. Это тебе для справки.

Можно ли все-таки сделать так,чтобы логировался только первый пакет?

Конечно. И если ты посмотришь в тему "iptables для новичков", там куча примеров правильного построение правил.

[kbu]

Спасибо за критику и предложения!