rsyslog + iptables

[AlLie]

Добрый день! Осваиваю Ubuntu Server 13.10. Ранее с Linux не работал. В ходе экспериментов есть необходимость фильтровать сообщения от firewall'a.
В iptables добавил новое правило:

Код: [Выделить]

sudo iptables -A INPUT -j LOG --log-prefix "ipl: "Создал файл /etc/rsyslog.d/ipl.conf c текстом:

Код: [Выделить]

:msg, contains, "ipl: " /var/log/ipl.log
& ~
Перезапустил сервис:

Код: [Выделить]

sudo service rsyslog restartФайл /var/log/ipl.log создался, но в него ничего не пишется. Вопрос: почему ? может еще какие конфиги упустил ?
менял права на файл

Код: [Выделить]

chmod 666 /var/log/ipl.log - толку нет.

со стандартным файлом ufw.log - такая же ситуация, при указании префиска "[UFW " в iptables - файл лога есть, но в него ничего не пишется. Где я ошибаюсь ?
Пользователь решил продолжить мысль 18 Марта 2014, 22:54:10:Очистил iptables. Добавил единственное правило

Код: [Выделить]

iptables -A INPUT -j LOG --log-level debug --log-prefix "ipl: "
Сообщения начали сыпаться в /var/log/kern.log. А вот перенаправить в свой файл, так и не получается.

[AlLie]

Итак, итоги экспериментов сдедующие:
есть шлюз со множеством правил, сеть работает, все отлично.
Добавил в конце строку лога :

Код: [Выделить]

iptables -A INPUT -j LOG --log-level debug --log-prefix "ipl: "
Создал файл /etc/rsyslog.d/10-ipl.conf c текстом:

Код: [Выделить]

:msg, contains, "ipl: " /var/log/ipl.log
& ~Перезапустил сервис rsyslog
Создался файл /var/log/ipl.log, поставил права чтения и записи chmod 666 /var/log/ipl.log
Логов нет.
Решил действовать просто и нудно, искать ошибки в правилах iptables. И нашел )) если убрать правило:

Код: [Выделить]

iptables -i eth0 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTто логи начинают сыпаться, так как надо.) вопрос: как это правило могло мешать работе rsyslog ? при этом транзитный трафик проходит нормально, а локальный пинг наружу перестает работать, но это и понятно, так как стоит правило

Код: [Выделить]

iptables -P INPUT DROP, если его снять, то и локальный трафик проходит.

[fisher74]

действие ACCEPT, как и DROP является терминирующим, то есть пакет выходит из цепочки и дальнейшие правила не обрабатываются. Именно по этой причине мы здесь просим показывать все действующие правила netfilter, а не выгрызки или скрипты их загружающие.

[AlLie]

Да, Вы правы. Переместил правило в начало обработки цепочки INPUT и все работает как надо. Спасибо за помощь. Ниже представлен полный список команд iptables для интернет шлюза + dnsmasq.

Код: [Выделить]

#Iptables rules
#
iptables -F

#Loopback interface lo---------------------------------------------------------
#
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
#

#NAT---------------------------------------------------------------------------
sysctl net.ipv4.ip_forward=1
#

#FORWARD
iptables -F FORWARD
#
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
#
iptables -A FORWARD -m conntrack --ctstate NEW -i eth1 -s 192.168.2.0/24 -j ACCEPT
#
iptables -P FORWARD DROP
#
#NAT
#
iptables -t nat -F POSTROUTING
#
#MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#

#Interface eth0 to INET DHCP -------------------------------------------------------------
#
iptables -F INPUT
#LOG
iptables -A INPUT -j LOG --log-level debug --log-prefix "ipl: " # <-------------
#
iptables -i eth0 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # <-------------
#
iptables -i eth0 -A INPUT -p icmp --icmp-type 8 -j ACCEPT
#

#Interface eth1 to LAN 192.168.2.0/24 ------------------------------------------
#
iptables -i eth1 -A INPUT -p udp ! --dport 67 ! -s 192.168.2.0/24 -j DROP
#
iptables -i eth1 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#
iptables -i eth1 -A INPUT -p icmp --icmp-type 8 -j ACCEPT
#
iptables -i eth1 -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
#
# Local DNS Config ------------------------------------------------------------
iptables -i eth1 -A INPUT -p udp -m state --state NEW --dport 53 -j ACCEPT
iptables -i eth1 -A INPUT -p tcp -m state --state NEW --dport 53 -j ACCEPT

iptables -i lo -A INPUT -p udp --sport 53 -j ACCEPT
iptables -i lo -A INPUT -p tcp --sport 53 -j ACCEPT

iptables -i lo -A INPUT -p udp --dport 53 -j ACCEPT
iptables -i lo -A INPUT -p tcp --dport 53 -j ACCEPT

#DHCP request-----------------------------------------------------------------
iptables -i eth1 -A INPUT -p udp -m state --state NEW --dport 67 -j ACCEPT
#

iptables  -P INPUT DROP
#
iptables  -F OUTPUT
#
iptables  -P OUTPUT ACCEPT


[AlLie]

Добрый день! В продолжении темы по rsyslog: в данный момент у меня идет логирование в указанный мной файл(:msg, contains, "ipl: " /var/log/ipl.log), ротацию настроил, все хорошо, но используется шаблон по умолчанию. Сейчас мне нужно, чтобы в тот же файл сыпался лог в формате:
"ДАТА" "ВРЕМЯ" "IP ИСТОЧНИКА" "ПОРТ ИСТОЧНИКА" "IP НАЗНАЧЕНИЯ" "ПОРТ НАЗНАЧЕНИЯ" "ВЫПОЛНЕННОЕ ДЕЙСТВИЕ"

И, опционально, хотелось бы создать второй файл для логирования событий установки и потери связи с интернет-провайдером в формате:
"ДАТА" "ВРЕМЯ" "СВЯЗЬ УСТАНОВЛЕНА/ПОТЕРЯНА" "IP СЕРВЕРА" "МОЙ IP"

Есть ли готовые примеры применения пользовательских шаблонов ? Заранее спасибо.