Log iptables dans un fichier spécifique rsyslog

Support Debian
#1

Bonjour
je crois avoir bien suivi les méthodes indiquées, mais je n’arrive pas à orienter les logs d’iptables vers un fichier spécifique à part. Un petit conseil svp?

/etc/rsyslog.d/iptables.conf

quote:msg, startswith,"drop" -/var/log/iptables.log
& ~

/etc/rsyslog.conf

# First some standard log files.  Log by facility.
#
:msg, startswith,"drop"         -/var/log/iptables.log
& ~
#
auth,authpriv.*                 /var/log/auth.log
...

Règles iptables à la fin du firewall:

iptables -t filter -A INPUT -p all -j LOG --log-prefix="drop"
iptables -t filter -A OUTPUT -p all -j LOG --log-prefix="drop"
iptables -t filter -A FORWARD -p all -j LOG --log-prefix="drop"

/var/log/kern.log

kernel: [ 2518.522341] dropIN= OUT=eth0 SRC=192.168.1.15 DST=173.194.40.215 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=2375 SEQ=3

Mon fichier /var/log/iptables.log reste vide!

-rw-r-----  1 root        adm        0 mai    9 19:20 iptables.log
Log tarpit
SYSLOGD fonctionnement anormale
#2

Ton log d’iptables ne commence pas par “drop”, il y a "kernel: [ 2518.522341] " devant. Le filtre doit être un peu plus élaboré. J’utiliserais des éléments caractéristiques des logs créés par -j LOG, comme contient “IN=” et “OUT=”.

#3

Merci pour ton aide,
c’est logique, donc je vais mettre contains au lieu de startswith.
Tous les exemples vus sur le net avaient startswith, je ne comprends pas comment ils faisaient…
Est-il possible d’avoir plusieurs fichiers, avec par exemple:
firewall
iptables -t filter -A INPUT -p all -j LOG --log-prefix="drop-in"
iptables -t filter -A OUTPUT -p all -j LOG --log-prefix="drop-out"
iptables -t filter -A FORWARD -p all -j LOG --log-prefix=“drop-fw”

/etc/rsyslog.conf
:msg, contains,“drop-in” -/var/log/iptables-in.log
:msg, contains,“drop-out” -/var/log/iptables-out.log
:msg, contains,“drop-fw” -/var/log/iptables-fw.log
& ~

#4

Je ne vois pas pourquoi ce ne serait pas possible.

#5

iptables -t filter -A INPUT -p all -j LOG --log-prefix="DROPIN: "
iptables -t filter -A OUTPUT -p all -j LOG --log-prefix="DROPOUT: "
avec
/etc/rsyslog.conf
:msg, contains, "DROPIN: " -/var/log/dropin.log
& ~
:msg, contains, "DROPOUT: " -/var/log/dropout.log
& ~

Ca marche, par contre les DROPOUT vont bien exclusivement dans dropout.log, alors que les DROPIN vont dans dropin.log et kern.log, syslog et messages. Là je vois pas.