Firewall, geblocktes Packet zum Prozess zurückverfolgen

Rund um die Sicherheit des Systems und die Applikationen
harv
Posts: 6
Joined: 2009-01-26 12:47
Location: 0.0.0.0

Firewall, geblocktes Packet zum Prozess zurückverfolgen

Post by harv » 2009-03-02 03:23

Hallo,

ich würde gerne Packete die von meiner Firewall geblockt werden zu dem Sendenen Pozess zurückverfolgen. Ist das machbar wenn ja wie?

Die Firewall ist IPtables, geloggt werden alle geblockten Packete mit einem entsprechendem eintrag an Letzter stelle in /var/log/firewall.

Harv

User avatar
rudelgurke
Posts: 405
Joined: 2008-03-12 05:36

Re: Firewall, geblocktes Packet zum Prozess zurückverfolgen

Post by rudelgurke » 2009-03-02 07:56

http://seclists.org/firewall-wizards/2003/Nov/0058.html

Hilft wohl nicht weiter ?

Falls nicht, Umweg wäre noch die uid zu loggen mit:

iptables ... -j LOG --log-uid

Und dann via "ps aux" nach dem zugehörigen Prozess zu suchen.

harv
Posts: 6
Joined: 2009-01-26 12:47
Location: 0.0.0.0

Re: Firewall, geblocktes Packet zum Prozess zurückverfolgen

Post by harv » 2009-03-02 08:38

Nein das hatte ich schon Probiert da bekomme ich den Fehler: iptables: Invalid argument


rudelgurke wrote:http://seclists.org/firewall-wizards/2003/Nov/0058.html
iptables ... -j LOG --log-uid

Hier bei bekomme ich zwar keine Fehlermeldung es wird aber auch nicht mehr geloggt als vorher :?:

User avatar
rudelgurke
Posts: 405
Joined: 2008-03-12 05:36

Re: Firewall, geblocktes Packet zum Prozess zurückverfolgen

Post by rudelgurke » 2009-03-02 17:00

Hmm - meine "Block / Log" Regel sieht so aus:

Code: Select all

iptables -N logdrop
iptables -A logdrop -p ICMP -j LOG --log-prefix "Blocked ICMP "
iptables -A logdrop -p UDP -j LOG --log-prefix "Blocked UDP "
iptables -A logdrop -p TCP -j LOG --log-prefix "Blocked TCP "
iptables -A logdrop -j REJECT


Hier dann bei "log-prefix" noch "log-uid" hinzufügen und dann am Ende der Regeln:

Code: Select all

iptables -A INPUT -j logdrop
iptables -A OUTPUT -j logdrop
iptables -A FORWARD -j logdrop