iptables: Logging aktivieren

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
grandcat
Posts: 104
Joined: 2006-08-15 12:26
Location: Bayern

iptables: Logging aktivieren

Post by grandcat » 2006-08-15 14:04

Hallo liebe Community,

auf meinem vServer würde ich gerne das Logging jeder (fehlgeschlagenen) Verbindung aktivieren, um später einmal Portknocking nutzen zu können. Dabei habe ich folgenden Befehl verwendet:

Code: Select all

iptables -I INPUT -p tcp -j LOG
Dabei gibt er folgende Fehlermeldung aus:

Code: Select all

iptables: No chain/target/match by that name
Prüft man per "iptables --list" die Verfügbarkeit nach, so stellt man fest, dass der "chain" "INPUT existiert. Man kann ja problemlos mit demselben Code eine Regel einfügen, wenn man "LOG" durch z.B. "ACCEPT" oder "DROP" ersetzt. Was könnte da falsch laufen?

Mein System: iptables v1.3.3
Suse 10.0

P.S.: Die iptables wurden per Hand konfiguriert, nicht mit YAST oder Plesk :wink:

Bin übrigens die selbe Person wie "opakatze", nur funktioniert der Account nicht mehr :(

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: iptables: Logging aktivieren

Post by Roger Wilco » 2006-08-15 15:29

Es gibt vermutlich kein LOG-Target in dem Kernel für Netfilter.
Wenn du an die Kernelkonfiguration herankommst: CONFIG_IP_NF_TARGET_LOG

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: iptables: Logging aktivieren

Post by adjustman » 2006-09-16 17:30

Hab das gleiche wie oben erwähnt, wenn ich folgende Regel aktivieren will. Hat mit Kernel 2.4.31 (ja, ich weiss, ist bei 2.6.* anders :wink:) funktioniert.

iptables -A INPUT -i eth0 -s 216.36.17.137 -j REJECT

iptables: No chain/target/match by that name

grep CONFIG_IP_NF_TARGET_LOG /boot/config-2.6.17
CONFIG_IP_NF_TARGET_LOG=y

Ist ein Kernel 2.6.17.7-grsec. OS Debian Sarge

EDIT:
Hab jetzt durch probieren folgendes rausgekriegt.

Code: Select all

iptables -A INPUT -i eth0 -s 216.36.17.137 -j REJECT
funktioniert nicht

Code: Select all

iptables -A INPUT -i eth0 -s 216.36.17.137 -j DROP
funktioniert
Wieso "kauft" das das eine Target und das andere nicht?

EDIT2: :wink:
Man muss auch CONFIG_IP_NF_TARGET_REJECT=y aktivieren!
Last edited by adjustman on 2006-09-18 17:56, edited 2 times in total.

grandcat
Posts: 104
Joined: 2006-08-15 12:26
Location: Bayern

Re: iptables: Logging aktivieren

Post by grandcat » 2006-09-16 19:32

Danke für deine Antwort, aber das bringt leider nichts, da ich nur über einen vServer verfüge und daher nur unzureichend Zugriff auf die Kernel habe. Ich kann daher keine Einstellungen manipulieren und ein Upgrade ist nur durch den Support möglich (welcher natürlich nur in sehr großen Abständen mal wieder ein neuen Kernel und Distri einspielt) :wink: