ubuntuusers.de

Logging der Firewall mit IPTABLES funktioniert nicht mehr richtig

Status: Ungelöst | Ubuntu-Version: Server 10.04 (Lucid Lynx)
Antworten |

Mechatroniker1990

Anmeldungsdatum:
20. November 2009

Beiträge: 40

Wohnort: Wittelshofen

Hallo Ubuntuusers,

ich habe folgendes Problem: Nach dem Upgrade von Ubuntu Server 9.10 auf Ubuntu Server 10.04 ( durch Neuinstallation) funktioniert das Logging der selbstgebauten Firewall mit IPTABLES nicht mehr so wie es soll.

Dieser Server übernimmt bei mir die Funktion des Internet-Routers und ist auserdem noch Proxy (Squid), Contentfilter (DansGuardian) usw. Jetzt war es immer so, (bei 9.10), dass die Loggingeinträge des Programms IPTABLES in eine Datei geschriben wurde, die man in der Konfigurationsdatei für Syslog ( /etc/rsyslog.d/50-default.conf ) festlegen kann.

Bei Ubuntu Server 10.04 kam dann die Ernüchterung: Die Loggingeinträge werden zwar in die in /etc/rsyslog.g/50-default.conf festgelegten Datei geschrieben, aber sie stehen jetzt zusätzlich auch in /var/log/messages.

Wenn man keine Datei für das Logging von IPTABLES in /etc/rsyslog.d/50-default.conf festlegt, stehen die Log-Einträge automatisch in /var/log/messages. Das war auch bei Ubuntu 9.10 so. Diese wird dann aber sehr schnell mit IPTABLES-Logeinträgen zugemüllt.

Hier noch ein Ausschnitt aus meinem Firewallskript:

## Neue eigene Regelkette LOG_DROP für das Logging und anschließende verwerfen von Paketen erstellen. Funktion ist gleich mit "-j DROP", nur dass alles in /var/log/firewall/drop gellogt wird!!
iptables -N LOG_DROP

## Alle Regeln aus der eigenen Regelkette LOG_DROP löschen
iptables -F LOG_DROP

## Alles, was diese Regelkette durchläuft wird in /var/log/firewall/drop gellogt
iptables -A LOG_DROP -m limit --limit 60/minute -j LOG --log-level warning --log-prefix "DROP= "

## Alles, was diese Regelkette durchläuft wird verworfen
iptables -A LOG_DROP -j DROP

Und hier noch die Zeile aus /etc/rsyslog.d/50-default.conf

# Logfile für Firewall
kern.warning	/var/log/firewall/firewall.log

Hat vielleicht jemand das selbe Problem, oder weis vielleicht jemand einen Rat??

Antworten |