Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

Philippeditlegros · Le 15/10/2014, à 12:04

Bonjour.

Je viens vers vous car j'ai paramétré Iptables pour avoir des logs qui s'affichent dans Syslog, mais cela ne fonctionne jamais. Je débute donc le problème vient donc de cette inexpérience qui caractérise les débutantsi. J'ai essayé deux paramétrages différents, mais donc sans succès, j'ai fait une fois :

iptables -A INPUT -f -j LOG  --log-prefix "Iptables Input"
iptables -A INPUT -f -j DROP

Et une autre fois ceci :

iptables -A INPUT -f -j LOG  --log-level info --log-prefix "Iptables Input"
iptables -A INPUT -f -j DROP

Mais rien, merci de votre aide...

Dernière modification par Philippeditlegros (Le 15/10/2014, à 12:05)

Philippeditlegros · Le 15/10/2014, à 18:15

Je pense peut-être à poser la question différement svp :

_Selon une des deux façons de demander les logs à iptables (que je décris dans mon premier message), est-ce que normalement je devrais avoir des truc dans syslog svp ?

tiramiseb · Le 15/10/2014, à 23:39

Salut,

1/ Pourquoi utilises-tu l'option "-f" ?

2/ Des paquets ont-ils été décomptés dans cette règle ?

Philippeditlegros · Le 16/10/2014, à 05:46

Bonjour à vous.

Je n'ai jamais mis en place de demande de logs dans iptables, je ne savais pas que -f était une option, j'ai trouvé cette commande de demande de log ici et je l'ai appliqué bêtement (comme on fait quand on débute).

Je ne sais pas comment savoir (comment lire) si des paquets ont été décompté svp ??

Dernière modification par Philippeditlegros (Le 16/10/2014, à 08:33)

tiramiseb · Le 16/10/2014, à 09:03

Salut,

je ne savais pas que -f était une option

Tu devrais vraiment te documenter plutôt que d'utiliser des commandes sans les comprendre : la manpage d'iptables est explicite à propos de l'option "-f".

je l'ai appliqué bêtement (comme on fait quand on débute)

C'est bien ça le problème : tu crois que quand on débute, on applique bêtement. Je n'ai jamais appliqué bêtement : quand je débutais, je lisais les documentations !

Ou alors, quand on débute, on utilise des logiciels simples.
ufw c'est (entre autres) pour les débutants.
iptables c'est pour les utilisateurs et administrateurs confirmés.

Je ne sais pas comment savoir (comment lire) si des paquets ont été décompté svp ?

Tu te fous de moi ? Toi-même, dans une autre discussion, tu expliques comment voir si des paquets ont été décomptés :
http://forum.ubuntu-fr.org/viewtopic.php?id=1697001
Tu y écris « un résultat m'indique un paquets de 40 bytes Dropé », après avoir lu une ligne où il y a un "1" au début.

Philippeditlegros · Le 16/10/2014, à 10:29

Change de ton avec moi s'il te plaît, je te parle cordialement, je te demande de l'aide, je te demande de l'aide cordiale, je ne te demande pas de te sentir visé quand j'écris quelque chose qui te paraît illogique, alors qu'elle ne l'est pas.

Je t'explique :

J'apprends ici ton langage, je n'ai fait nullement l'association du mot "décompté" (de ton message numéro #3 ici même) avec la discussion que j'ai eu l'autre jour dont tu donnes le lien au dessus dans ton message #5 ici même.

Pour preuve, ce langage je ne l'ai pas utilisé une seule fois dans le lien que tu donnes en message #5. Quand je dois faire l'association d'un nouveau mot avec iptables dont j'essaie de comprendre le fonctionnement avec ton aide ici, il est logique que cela ne se fasse pas tout seul dans ma tête, si un nouveau mot arrive, je dois l'apprendre, et je l'apprends avec toi aujourd'hui. Donc non, je ne me moque pas de la personne qui m'apprend le fonctionnement d'iptables et de ses commandes, je ne me moque pas d'elle, ni hier, ni aujourd'hui, ni demain, donc si tu pouvais éviter ce genre de remarque désagréable pour rien, ce sera bien pour que l'on puisse continuer ensemble un bout de chemin ici. On a plus 15 ans, pas besoin de tout ramener à toi tout de suite, renseigne toi avant, demande moi si je sais ce que veut dire "décompter" quand on parle de log, je t'aurai dit tout de suite non je ne sais pas, et je t'aurai demandé où je puis le savoir ou avec quelle commande je peux lancer ce décompte, enfin le truc logique pour moi quoi, moi qui n'ai pas tes connaissances, c'est tout.

Tu vois, c'est nul, ça ne fait pas avancer le débat et ça allourdi tout tout de suite le forum, bref... Je pense que tu aura scompris, je passe à autre chose de ton message au dessus.

Tu me dis que tu as lu les pages de man, je l'ai fait aussi pour Iptables, mais tout est en anglais, je ne comprends pas les mots et les associations de mots techniques et de notions techniques en anglais, du coup je ne peux pas m'aider de ces pages de man, ou très peu. Je note néanmoins que grâce à cette intervention de ta part, j'ai cherché des pages de man en français sur le net, et je viens de tomber sur celle-ci (elle n'est pas très à jour mais c'est la seule que j'ai trouvé, je vais voir si je peux en trouver d'autres) :

http://www.delafond.org/traducmanfr/man … les.8.html

J'ai cherché à lancer cette commande que je viens d'apprendre aujourd'hui, mais sans succès, les pages de man sont toujours en anglais sur mon PC concernant iptables, (cette commande là) :

man --locale fr iptables

Voilà tu me dis de me documenter sur -f, je viens de le faire donc sur la page de man en français d'Iptables dont je donne le lien au dessus et donc pour -f ils disent :

-------

[!] -f, --fragment
Avec cette option, la règle s'applique seulement aux paquets fragmentés, mais seulement à partir du deuxième fragment. Comme il est impossible d'en déterminer les ports source ou destination (ou le type ICMP), aucune règle ne pourra établir de correspondance sur ces critères. Lorsqu'un «!» précède l'option «-f», la règle ne s'applique qu'aux fragments d'en-tête ou aux paquets non fragmentés.

---------

Je comprends que fragment veut dire plusieurs parties, je comprends quand ils disent "...à partir du deuxième fragment." Mais je ne sais pas comment sont fragmentés les paquets, je vais chercher à gauche à droite, mais enfin, si tu as la réponse, je veux bien l'apprendre de toi, salut.

Dernière modification par Philippeditlegros (Le 16/10/2014, à 10:45)

Philippeditlegros · Le 16/10/2014, à 10:50

J'ai essayé de rentrer ces lignes de commandes suivantes (sans le -f comme tu m'en as parlé, je me suis dit je vais essayé sans, en tâtonnant, je ne suis pas en train de dire que c'est toi qui m'a dit de ne pas rentrer le "-f", je fais des test c'est tout, enfin bref, ne le prends pas pour toi quoi), mais cela bloque ma connexion, il m'est impossible de me connecter à mon VPN avec les lignes qui suivent :

iptables -A INPUT -j LOG  --log-prefix "Iptables Input"
iptables -A INPUT -j DROP

Je suis obligé de mettre le "-f", comme ceci, sinon donc ça me bloque mon accès VPN :

iptables -A INPUT -f -j LOG  --log-prefix "Iptables Input"
iptables -A INPUT -f -j DROP

Dernière modification par Philippeditlegros (Le 16/10/2014, à 10:51)

Compte anonymisé · Le 16/10/2014, à 11:32

Salut

ajouter dans le fichier ''/etc/syslog.conf

kern.=warning -/var/log/iptables.log

ou modifier la ligne suivante :

kern.* -/var/log/kern.log

Et la remplacer par celle ci :

kern.*;kern.!=warning -/var/log/kern.log

pour tester

iptables -A INPUT -i eth0 -d 1.2.3.4 -p tcp -j LOG --log-level warning

elle permet d'enregistrer tous les paquets en provenance de l'IP 1.2.3.4 sur l'interface eth0.

cordialement

Philippeditlegros · Le 16/10/2014, à 12:03

Bonjour meremichel,

j'ai voulu faire ce que vous me proposez, mais je n'ai pas de fichier appelé "syslog.conf" dans le dossier /etc/ de mon ordinateur. J'ai bien vérifié, l'info que je vous donne là est juste, je n'ai pas ce fichier. Est-ce normal ?

Je ne sais pas si cela a pu jouer, mais j'ai tout désactivé dans la partie "Vie Privée" de Ubuntu 12.04, merci à vous !

Dernière modification par Philippeditlegros (Le 16/10/2014, à 12:07)

tiramiseb · Le 16/10/2014, à 14:07

Philippeditlegros: il faut que tu arrêtes de pinailler sur le vocabulaire. J'ai pointé un autre de tes messages où tu dis toi-même avoir vu qu'un paquet est tombé dans une règle. Tu as vu le chiffre "1", tu t'es dit qu'il y a un paquet. Si ce n'est pas "compter" pour toi, c'est quoi ?

je ne comprends pas les mots et les associations de mots techniques et de notions techniques en anglais

En même temps, tu admets être débutant et tu utilises un outil super complexe et bas-niveau. Pourquoi ne pas acheter un livre sur ce sujet, si tu veux apprendre ? Ce n'est pas avec des tutoriels approximatifs que tu apprendras.

Mais je ne sais pas comment sont fragmentés les paquets

Si un paquet est trop gros, il est fragmenté, c'est tout. Donc un paquet "classique", en 1 fragment, n'était pas concerné par cette règle. Tout simplement.

cela bloque ma connexion, il m'est impossible de me connecter à mon VPN avec les lignes qui suivent :
iptables -A INPUT -j LOG  --log-prefix "Iptables Input"
iptables -A INPUT -j DROP

Cela veut dire que tu ne les as pas fait précéder par des règles qui autorisent ton VPN.

La dernière règle dit « tout ce qui entre est jeté » (d'ailleurs, plutôt qu'une règle comme ça, autant mettre ça en policy avec "-P"). Donc tout ce qui n'a pas été autorisé avant est jeté. À toi d'autoriser ce qu'il faut autoriser. C'est le principe d'un pare-feu, non ?

Je suis obligé de mettre le "-f", comme ceci, sinon donc ça me bloque mon accès VPN :
iptables -A INPUT -f -j LOG  --log-prefix "Iptables Input"
iptables -A INPUT -f -j DROP

Donc là tu dis « jette tout ce qui n'est pas un premier fragment. Mais à part ça, laisse tout passer. ». Dans ce cas, ton pare-feu est inutile.

... j'ai déjà dit qu'iptables est complexe, non ? Sincèrement, documentes-toi. Je ne sais pas quoi te proposer d'autre. Soit tu veux utiliser iptables et tu dois te documenter, soit tu veux juste un pare-feu qui marche et tu utilises des logiciels faits pour ça (comme UFW). Ou alors tu ne mets pas de pare-feu, c'est de toute façon inutile dans l'écrasante majorité des cas : il y a de fortes chances que ce soit inutile pour toi.

Philippeditlegros · Le 16/10/2014, à 15:22

Merci pour tous ces éclaircissements Tiramiseb, je comprends mieux ce que j'applique, et je désire ardemment rester sous Iptables, mais tu me parles de prendre des livres dessus, mais lesquels ?? Même si c'est payant je prends, mais lesquels du coup, tu as utilisé lesquels toi stp ?

Dernière modification par Philippeditlegros (Le 16/10/2014, à 21:25)

tiramiseb · Le 16/10/2014, à 15:29

tu as utilisé lesquels toi stp ?

J'ai utilisé les manpages, les docs officielles, les howtos, etc. J'ai passé beaucoup de temps à apprendre, comme tout le monde peut le faire. Je suis autodidacte alors j'utilise peu les livres, surtout la logique. Et quand je ne comprends pas, je ne me dis pas « allons demander sur un forum », je me dis « qu'est-ce que j'ai fait de travers » et je relis les docs. Enfin bon, je parle d'un temps que les moins de 20 ans ne peuvent pas connaître En 2000-2002, il n'y avait pas pas vraiment de forums d'entraide comme celui-ci. Déjà que l'ADSL commençait à peine à apparaître, on ne traînait pas des masses sur Internet avec nos connexions AOL 56k qui plantaient tout le temps...

Donc voilà, je ne peux pas te conseiller un livre, tout ce que je peux te conseiller c'est d'arrêter de lire des tutos et de commencer à lire des vraies documentations.
Tu peux déjà commencer par la documentation officielle : http://www.netfilter.org/documentation/index.html
Sinon, si tu aimes les livres papier, tu peux te tourner vers l'éditeur O'Reilly : c'est d'la bonne came

Philippeditlegros · Le 16/10/2014, à 15:50

Merci pour l'anecdote sur l'adsl et le petit bout d'histoire !

Dans ton explication au message #10 je n'ai pas compris un point stp. Sur la règle là :

iptables -A INPUT -f -j LOG  --log-prefix "Iptables Input"
iptables -A INPUT -f -j DROP

Tu en dis ceci :

tiramiseb a écrit :

Donc là tu dis « jette tout ce qui n'est pas un premier fragment. Mais à part ça, laisse tout passer. ». Dans ce cas, ton pare-feu est inutile.

Quelle est celle des deux règles qui dit laisse tout passer stp ??

Dernière modification par Philippeditlegros (Le 16/10/2014, à 15:50)

tiramiseb · Le 16/10/2014, à 15:52

Quelle est celle des deux règles qui dit laisse tout passer stp ??

Aucune, justement. Ces deux règles, prises comme ça, disent de bloquer les fragments, c'est tout ; et il n'y a rien d'autre qui sera bloqué.
Par conséquent et en toute logique, tout le reste est autorisé...

Philippeditlegros · Le 16/10/2014, à 16:27

tiramiseb a écrit :

Quelle est celle des deux règles qui dit laisse tout passer stp ??
Aucune, justement. Ces deux règles, prises comme ça, disent de bloquer les fragments, c'est tout ; et il n'y a rien d'autre qui sera bloqué.
Par conséquent et en toute logique, tout le reste est autorisé...

Merci !

tiramiseb · Le 16/10/2014, à 16:30

Je tiens quand même à compléter avec la chose suivante : ce que j'explique là n'est valable que si la "policy" de la chaîne est "ACCEPT". En fait, une fois toutes les règles traversées, si un paquet n'est pas sorti alors il est traité selon la "policy".

Philippeditlegros · Le 16/10/2014, à 16:41

tiramiseb a écrit :

Je tiens quand même à compléter avec la chose suivante : ce que j'explique là n'est valable que si la "policy" de la chaîne est "ACCEPT". En fait, une fois toutes les règles traversées, si un paquet n'est pas sorti alors il est traité selon la "policy".

Merci encore. Même si c'est un paquet ICMP qui serait bloqué avec ça au préalable svp ? :

iptables -P OUTPUT ACCEPT
iptables -A OUTPUT -p icmp -j DROP
iptables -A OUTPUT -f -j LOG --log-prefix "[[[[2]]]] OUTPUTableS]"
iptables -A OUTPUT -f -j DROP

-------------------------

J'avais une autre question, dans la vie "normale" sous Ubuntu, la règle qui suit devrait-elle à elle seule faire apparaître les LOG dans syslog svp ?

iptables -A OUTPUT -f -j LOG --log-prefix "[[[[2]]]] OUTPUTableS]"

Dernière modification par Philippeditlegros (Le 16/10/2014, à 16:42)

tiramiseb · Le 16/10/2014, à 16:43

Même si c'est un paquet ICMP qui serait bloqué avec ça au préalable svp ? [...]

Là tu me montres des règles en sortie. Avant, tu me montrais des règles en entrée. Donc il n'y a pas de lien entre les deux.

Là, en sortie, en effet, tu bloques le protocole ICMP.
Je trouve cela plutôt dommage : il n'y a aucun intérêt à bloquer ça, par contre toi ça risque de t'emmerder...

J'avais une autre question, dans la vie "normale" sous Ubuntu, la règle qui suit devrait-elle à elle seule faire apparaître les LOG dans syslog svp ?
iptables -A OUTPUT -f -j LOG --log-prefix "[[[[2]]]] OUTPUTableS]"

Seulement pour les paquets fragmentés (-f)...

Philippeditlegros · Le 16/10/2014, à 16:48

Je ne comprends pas très bien, quand tu dis ceci :

tiramiseb a écrit :

Je tiens quand même à compléter avec la chose suivante : ce que j'explique là n'est valable que si la "policy" de la chaîne est "ACCEPT". En fait, une fois toutes les règles traversées, si un paquet n'est pas sorti alors il est traité selon la "policy".

Cela ne s'applique pas à cela :

iptables -P OUTPUT ACCEPT
iptables -A OUTPUT -p icmp -j DROP
iptables -A OUTPUT -f -j LOG --log-prefix "[[[[2]]]] OUTPUTableS]"
iptables -A OUTPUT -f -j DROP

tiramiseb · Le 16/10/2014, à 16:59

Là tu as mis une policy "ACCEPT" à OUTPUT. Donc le complément que je donne s'applique parfaitement.
Avec tes quatre lignes, pour les paquets en sortie :
- d'abord (première règle), les paquets ICMP sont jetés sans autre forme de procès
- ensuite (seconde règle), les fragments donnent lieu à une écriture dans les logs
- puis (troisième règle) les fragments sont jetés sans autre forme de procès
- enfin (policy), tout le reste est accepté.

Note bien que, dans les commandes que tu montres, la première règle est la 2me ligne, la 2me règle est la 3me ligne, la 3me règle est la 4me ligne et la policy est la 1re ligne.

----

ce qui serait bien pour toi, plutôt que de montrer des lignes en demandant une interprétation, c'est de montrer les lignes, dire ce que tu y comprends, comme ça on pourra te dire ce que tu comprends de travers (ou alors te confirmer que tu as bien tout compris).

Dernière modification par tiramiseb (Le 16/10/2014, à 17:00)

Philippeditlegros · Le 16/10/2014, à 17:25

Merci Tiramiseb.

Ce que je comprends maintenant c'est que je LOG les fragments avant de les refuser(DROP), je n'avais pas compris cela avant.

Ce que je ne comprends pas, c'est la notion de fragment, cela veut-il dire qu'à partir du moment où un flux est rejeté (ici le PING) mais bon, (quelqu'il soit irait aussi dans ma question), alors il est automatiquement fragmenté svp ?

Dernière modification par Philippeditlegros (Le 16/10/2014, à 17:26)

tiramiseb · Le 16/10/2014, à 17:36

Non.
Un paquet a une certaine taille, qui peut être variable. Le réseau, quant à lui, accepte des paquets avec une taille maximale.
Si un paquet envoyé est trop gros pour le réseau, alors il sera fragmenté avant envoi.
Mais c'est un cas plutôt rare (et source de nombreux maux de tête).

Pour t'aider à comprendre, voici un cas où ça peut déconner : soient trois machines, A, B et C. B est un simple routeur, qui retransmet les paquets de A à C. Le réseau entre A et B accepte des paquets de 1500 octets maximum. Le réseau entre B et C accepte des paquets de 1300 octets maximum. Si Si A envoie un paquet de 1400 octets vers C, alors ce paquet sera fragmenté en deux morceaux par B : 1200 puis 100 octets. Le second morceau, de 100 octets, sera traité par la règle avec l'option "-f".

Sauf que ce cas est rare dans la vraie vie. C'est une problématique très "bas niveau" de réseau, que même moi avec plus de 10 ans d'expérience professionnelle je ne maîtrise pas bien, car je suis plutôt admin système et pas admin réseau (bien que ma formation soit en télécoms et réseaux) - cela dit, je sais que de nombreux admin sys ne connaissent même pas cette problématique. Un admin réseau (spécialiste Cisco, tout ça) aura plus de contacts avec ce cas de figure. Et encore, c'est quelque chose d'assez rare, vu qu'on s'arrange avec les différentes tailles de paquets sur les différents réseaux pour diminuer au minimum le risque de fragmentation.

Philippeditlegros · Le 16/10/2014, à 17:44

C'est bien expliqué merci. Merci pour ton temps aujourd'hui, c'est gentil.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 15/10/2014, à 12:04

Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#2 Le 15/10/2014, à 18:15

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#3 Le 15/10/2014, à 23:39

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#4 Le 16/10/2014, à 05:46

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#5 Le 16/10/2014, à 09:03

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#6 Le 16/10/2014, à 10:29

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#7 Le 16/10/2014, à 10:50

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#8 Le 16/10/2014, à 11:32

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#9 Le 16/10/2014, à 12:03

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#10 Le 16/10/2014, à 14:07

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#11 Le 16/10/2014, à 15:22

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#12 Le 16/10/2014, à 15:29

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#13 Le 16/10/2014, à 15:50

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#14 Le 16/10/2014, à 15:52

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#15 Le 16/10/2014, à 16:27

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#16 Le 16/10/2014, à 16:30

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#17 Le 16/10/2014, à 16:41

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#18 Le 16/10/2014, à 16:43

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#19 Le 16/10/2014, à 16:48

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#20 Le 16/10/2014, à 16:59

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#21 Le 16/10/2014, à 17:25

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#22 Le 16/10/2014, à 17:36

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

#23 Le 16/10/2014, à 17:44

Re : Demande de log à Iptables qui n'arrivent jamais dans Syslog ?

Pied de page des forums