Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
iptables LOG und syslogd

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sicherheit
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
sumsi
Gast





BeitragVerfasst am: 18. Sep 2007 8:10   Titel: iptables LOG und syslogd

Hallo, ich habe folgedes Problem .. und zuwenig Ahnung Confused

Ich habe ein (fertiges) Firewall-Script vom IPCop, welches Portscanns loggen soll:

Auszug:
Code:

Chain BADTCP (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 PSCAN      tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x29
    0     0 PSCAN      tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x00
    0     0 PSCAN      tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x3F/0x01
    0     0 PSCAN      tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x06
    0     0 PSCAN      tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x03/0x03
    0     0 NEWNOTSYN  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:!0x17/0x02 state NEW

Code:

Chain PSCAN (5 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 10/min burst 5 LOG flags 0 level 4 prefix `TCP Scan? '
    0     0 LOG        udp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 10/min burst 5 LOG flags 0 level 4 prefix `UDP Scan? '
    0     0 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 10/min burst 5 LOG flags 0 level 4 prefix `ICMP Scan? '
    0     0 LOG        all  -f  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 10/min burst 5 LOG flags 0 level 4 prefix `FRAG Scan? '
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0   


Das machts aber nicht oder nur sehr selten, werfe ich nmap auf die Netzwerkkarte an
Sad

Kennt sich Einjemand gut damit aus und kann mir sagen, warum
- in der /var/log/messages nicht oder extrem selten Scanhinweise auftauchen?
- die syslodg nicht darufhin auf kern.info ablässt?

Viele Grüsse
sumsi
 

Alan
Gast





BeitragVerfasst am: 23. März 2008 18:48   Titel:

Tja,
zwar schon älter der Beitrag, aber naja:

In der BADTCP wird als Match in jeder Regel das TCP Protokoll angegeben.
In der PSAN Chain soll dann unterschieden werden zwischen TCP, UDP und ICMP ?

Da kann eigentlich nie "UDP-Scan?" oder"ICMP-Scan?" erscheinen, und "FragScan?" nur, wenn beim vorher abgefragten Flag im TCP noch zusätzlich opt=-f ist.

Obs nen bug ist?
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sicherheit Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy