Hallo,
ich würde gerne Packete die von meiner Firewall geblockt werden zu dem Sendenen Pozess zurückverfolgen. Ist das machbar wenn ja wie?
Die Firewall ist IPtables, geloggt werden alle geblockten Packete mit einem entsprechendem eintrag an Letzter stelle in /var/log/firewall.
Harv
Firewall, geblocktes Packet zum Prozess zurückverfolgen
-
rudelgurke
- Posts: 409
- Joined: 2008-03-12 05:36
Re: Firewall, geblocktes Packet zum Prozess zurückverfolgen
http://seclists.org/firewall-wizards/2003/Nov/0058.html
Hilft wohl nicht weiter ?
Falls nicht, Umweg wäre noch die uid zu loggen mit:
iptables ... -j LOG --log-uid
Und dann via "ps aux" nach dem zugehörigen Prozess zu suchen.
Hilft wohl nicht weiter ?
Falls nicht, Umweg wäre noch die uid zu loggen mit:
iptables ... -j LOG --log-uid
Und dann via "ps aux" nach dem zugehörigen Prozess zu suchen.
Re: Firewall, geblocktes Packet zum Prozess zurückverfolgen
Nein das hatte ich schon Probiert da bekomme ich den Fehler: iptables: Invalid argument
Hier bei bekomme ich zwar keine Fehlermeldung es wird aber auch nicht mehr geloggt als vorher :?:rudelgurke wrote:http://seclists.org/firewall-wizards/2003/Nov/0058.html
iptables ... -j LOG --log-uid
-
rudelgurke
- Posts: 409
- Joined: 2008-03-12 05:36
Re: Firewall, geblocktes Packet zum Prozess zurückverfolgen
Hmm - meine "Block / Log" Regel sieht so aus:
Hier dann bei "log-prefix" noch "log-uid" hinzufügen und dann am Ende der Regeln:
Code: Select all
iptables -N logdrop
iptables -A logdrop -p ICMP -j LOG --log-prefix "Blocked ICMP "
iptables -A logdrop -p UDP -j LOG --log-prefix "Blocked UDP "
iptables -A logdrop -p TCP -j LOG --log-prefix "Blocked TCP "
iptables -A logdrop -j REJECT
Code: Select all
iptables -A INPUT -j logdrop
iptables -A OUTPUT -j logdrop
iptables -A FORWARD -j logdrop