Am Don, 2002-10-31 um 08.32 schrieb Rainer Ellinger: > Matthias Hentges schrieb: > > "$iptables_exe" -A in_adsl -j LOG --log-prefix "*IN ADSL* " > > Aber im Syslog kommt dummerweise *nichts* an. Um alle Fehler > > auszuschliessen, habe ich dann logischerweise einfach mal syslogd neu > > Gib dem LOG-Eintrag ein vern�nftiges Limit mit den zus�tzlichen > Optionen (vor -j LOG): -m --limit 1/sec --limit-burst 5
Normalerweise sieht die LOG-Zeile so aus: $iptables_exe" -A in_adsl -j LOG -m limit --limit 25/m --log-prefix "*IN ADSL* " Nur dem Zeilenumbruch zuliebe hatte ich das Limit rausgelassen. > Den Burst w�rde bei mehr als einer externen IP auf einen Wert 2 * Zahl > der IPs setzen, damit man auch Netzscans sauber in den Logs hat. Das > Limit h�ngt von Bandbreite und Art des Loggings ab. 1/sec sollte f�r > ADSL und Input DROP reichen. Mehr als 5/sec wird kaum n�tig sein. So > entstehen obige Werte. Danke f�r den Tip. Ich werde mir burst mal genauer ansehen. > > > 5382 323K LOG all -- any any anywhere \ > > Arrgg, Statistik f�r Einsteiger: in welchem Zeitraum? Das Ratio > erscheint mir normal, d.h. es werden die �blichen Verd�chtigen erfasst. Das sollte ja auch nur verdeutlichen, dass iptables brav am loggen ist. Der Zeitraum war ca 30min bei einem laufenden Portscan von extern. Von den Treffern der LOG Regel erschien keine einzige Meldung im Syslog. -- Matthias Hentges [www.hentges.net] -> PGP + HTML are welcome ICQ: 97 26 97 4 -> No files, no URLs My OS: Debian Woody: Geek by Nature, Linux by Choice -- H�ufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
