Fichiers logs...lourds ! iptables

Support Debian
#1

Bonjour,

Je me suis rendu compte aujourd’hui en vérifiant machinalement mes logs que j’ai des entrées, que je juge… superflues !
Ca se trouve dans syslog, kern, debug et bandwidth ? (c’est quoi ce bandwidth) et ça dépasse plusieurs centaines de mégas…

BANDWIDTH_OUT:IN= OUT=ppp0 SRC=10.xxx.xxx.xxx DST=220.xxx.xxx.xxx LEN=93 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=49968 DPT=15707 LEN=73
Des kilomètres comme ça…
Comment savoir quelle application “pollue” mes logs comme ça ?
Merci d’avance

#2

25ème site visité… toujours pas de solution…

J’ai désinstallé rrdtool, pas d’effet, les logs continuent… :frowning:

Je vais vérifier vers shorewall, mais je n’ai pas fait de modif récemment…

#3

C’est manifestement un message produit par une règle iptables avec la cible LOG ou ULOG. Quant à savoir d’où vient cette règle iptables, shorewall me semble une bonne piste.

#4

Merci de me venir en aide.

Les logs grossissent…
Je n’ai rien vu dans shorewall de particulier. J’ai enlevé “info” de toutes les “rules” et “policy”, aucun changement.
Je n’ai pas regardé iptables encore.
J’ai désinstallé rsyslog (complètement) et réinstallé, pas d’effet.

Je viens de regarder iptables… J’ai trouvé (enfin, tu as trouvé…)

Je n’ai pas pensé à iptables, car je me sert exclusivement de shorewall… Quel nul… iptables est toujours là…
Je “nettoie” demain matin à la première heure (la tête claire).
A ton avis, je diminue le --log-level, ou je supprime tout simplement le logging ?

J’ai beaucoup apprécie ton aide.

#5

Je ne connais pas shorewall, mais c’est une surcouche d’iptables : les règles shorewall sont traduites en règles iptables, et ce sont les règles iptables qui réalisent le filtrage effectif.
Si ce n’est pas shorewall ni un script perso, tu peux rechercher parmi les paquets installés ceux qui dépendent d’iptables.

liste tous les paquets installés qui dépendent d’iptables ou le recommandent (enlever --installed pour afficher aussi les paquets non installés). Ou plus brutal (en root) qui affiche la liste des paquets qui seraient supprimés si iptables était supprimé :

Concernant la log level, je ne me souviens jamais dans quel sens fonctionne la correspondance valeur/priorité. Je ne suis pas sûr de comprendre ce que tu veux dire par supprimer le logging. Le plus simple dans l’immédiat serait de supprimer la règle iptables en question, mais ce ne serait que temporaire jusqu’au prochain redémarrage.

#6

[quote=“PascalHambourg”][…] shorewall […] est une surcouche d’iptables[/quote]J’ai choisi shorewall par facilité… le prix de la facilité c’est l’ignorance !

Je recherche le coupable demain matin (je ne suis plus sur la machine…).

apt-cache rdepends iptables apt-get -s remove iptables

[quote=“PascalHambourg”]Je ne suis pas sûr de comprendre ce que tu veux dire par supprimer le logging[/quote]Je pensais supprimer juste la fin de la ligne (la commande de log) pas la règle entière.

Je met un petit message demain matin pour confirmer.

J’ai vu passer un long “post” plusieurs fois, il doit être parfaitement adapté à mes connaissances (nulles) : Installation pare-feu (iptables) “pour les nuls”

Merci :smiley:

#7

Je l’ai…

C’est ce fichier (/etc/shorewall/start) qui contientrun_iptables -I INPUT -i ppp0 -j LOG --log-prefix BANDWIDTH_IN: --log-level debug run_iptables -I FORWARD -i ppp0 -j LOG --log-prefix BANDWIDTH_IN: --log-level debug run_iptables -I FORWARD -o ppp0 -j LOG --log-prefix BANDWIDTH_OUT: --log-level debug run_iptables -I OUTPUT -o ppp0 -j LOG --log-prefix BANDWIDTH_OUT: --log-level debug(donc debug donne ‘-level 7’)

Quant au coupable ? je ne vois pas… Cela vient peut-être d’un programme que j’ai installé puis enlevé, mais qui a laissé traîner un script…laurent@spider:~$ sudo apt-cache rdepends iptables iptables Reverse Depends: libvirt-bin heartbeat util-vserver uruk uif specter shorewall-lite shorewall-common shaperd pyroman |psad ppp p3scan network-config |netscript-2.4 mxallowd ltsp-controlaula linux-igd libvirt-bin libpam-shield kvpnc knetfilter iptables-dev ipset ipmasq |ipmasq ipkungfu heartbeat guidedog gpe-shield fwanalog firestarter firehol fiaif ferm fail2ban education-thin-client-server education-main-server ebtables dtc-xen-firewall controlaula arno-iptables-firewall

Je supprime le fichier /etc/shorewall/start !
Encore merci :smiley:

#8

C’était bien violent, ces règles logguent absolument tous les paquets IP qui entrent ou sortent par l’interface ppp0. A la longue, ça fait beaucoup. Plutôt que supprimer le fichier, je pense que tu peux te contenter de supprimer ces lignes.

Plus la valeur numérique de log level est grande plus la priorité est faible et inversement.La valeur 7 correspond à “debug”.

Note : avec l’option --installed, la commande apt-cache rdepends n’affichera que les paquets installés qui dépendent du paquet spécifié.

#9

[quote=“PascalHambourg”]C’était bien violent[/quote] Oui ! :laughing: Surtout avec deluge qui tourne derrière…

[quote=“PascalHambourg”]Plutôt que supprimer le fichier, je pense que tu peux te contenter de supprimer ces lignes[/quote] C’est ce que j’ai finalement fait de peur de rendre inutilisable shorewall !

J’ai fait plusieurs essais de programmes dernièrement, mais j’ai un peu oublié lesquels… La prochaine fois, je ne fais pas ce genre de test sur mon serveur…
Il faut avouer que c’était un peu stupide de ma part surtout que j’ai à ma disposition plusieurs machines, VirtualBox, etc. pour faire ça !

J’ai appris plein de choses, je t’en remercie !