Frage zu iptables Optionen

Rund um die Sicherheit des Systems und die Applikationen
lazytoad
Posts: 6
Joined: 2007-07-11 20:05
Location: Deutschland

Frage zu iptables Optionen

Post by lazytoad » 2007-07-11 20:30

Hallo RootForum,

bin neu hier und habe gleich 2 Fragen zu den Optionen von iptables in bezug auf einen VPS.

Vorab ein paar Details zu meinem vServer:

- SuSE 9.2 :cry: "seuftz"
- iptables 1.2.11
- läuft auf Virtuozzo

Mit iptables habe ich mir eine grundlegende "Firewall" gebaut. Nun habe ich 2 Probleme fuer die ich, auch nach intensiver Inet Suche, noch keine Loesung gefunden habe.

1)
Um zu sehen was so alles, zugriffstechnisch, auf dem Server abgeht, moechte ich gerne die LOG Funktion von iptables nutzen. Hier mal ein Beispiel einer meiner Regeln:

$IPTABLES -A INPUT -d $IPADDR -p tcp --dport 22 --sport $UNPRIVPORTS -j LOG
$IPTABLES -A INPUT -d $IPADDR -p tcp --dport 22 --sport $UNPRIVPORTS -j ACCEPT
$IPTABLES -A OUTPUT -s $IPADDR -p tcp --dport $UNPRIVPORTS --sport 22 -j ACCEPT

Wenn ich diese Regeln nun installiere, dann erhalte ich folgende Fehlermeldung:
iptables: No chain/target/match by that name

Die Meldung haengt eindeutig an -j LOG, denn wenn ich diese Zeile entferne fkt. es ohne Fehler.

Weiss jemand warum ?
Laut verschiedener Inet-Seiten und Buechern ist -j LOG das Target zum Loggen.

2)
Der vServer hat als aktives Netzwerkinterface vnet0:0. Gebe ich dieses Interface in der iptables Option -i an, dann erhalte ich:

Warning: wierd character in interface `venet0:0' (No aliases, :, ! or *).

Ich vermute es liegt am :0, damit kann iptables wohl "nichts" anfangen.
Kann ich das irgendwie maskieren ?

Vorab schon mal Danke. 8)

Gruss
LazyToad

grandcat
Posts: 104
Joined: 2006-08-15 12:26
Location: Bayern

Re: Frage zu iptables Optionen

Post by grandcat » 2007-07-11 21:05

Bei einem vServer kannst du die Logoption nicht benutzen, dafür wäre eine gewisse Manipulation am Kernel des gesamten Serversystems notwendig, auf den du keinen Zugriff hast. (siehe http://www.rootforum.org/forum/viewtopic ... tables+log )
Auch scheint es, dass man bei vServer unter iptables kein Interface definieren kann, was man aber eh nicht benötigt. Lass die Option einfach weg :wink:

lazytoad
Posts: 6
Joined: 2007-07-11 20:05
Location: Deutschland

Re: Frage zu iptables Optionen

Post by lazytoad » 2007-07-12 09:54

Danke grandcat - sowas in der Richtung habe ich mir schon gedacht. :-D

elch_mg
Posts: 302
Joined: 2006-01-23 19:14
Location: 41063

Re: Frage zu iptables Optionen

Post by elch_mg » 2007-07-12 10:24

LazyToad wrote:- SuSE 9.2 :cry: "seuftz"
nix *seufz*, updaten. Aber fix, das ist schon sowas von veraltet.. ;)