- ベストアンサー
iptablesの通信ログについて
CentOSサーバにて iptablesの運用に携わることになりました。 CentOSインストール後から、 iptablesに関する設定は、通信のaccept処理鹿記述しておりません。 LOG項目に関する設定はしておりません。 この時、CentOSサーバから送信された通信情報のログを確認したいと考えております。 (CentOSからどこのIP宛に 何のデータが送信されたか?(=Output)) CentOSサーバでどのログファイルを確認したら 目的の通信情報を手に入れることができますでしょうか? よろしくお願いします。
- ShiftTail
- お礼率80% (423/528)
- Linux系OS
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
LOGに関する設定をしていないのであれば、どこを見てもログはありません。 まずはLOGの設定をしましょう。 >(CentOSからどこのIP宛に 何のデータが送信されたか?(=Output)) LOGの設定をしても、得られる情報は、IPアドレス、ポート番号、長さ、パケットの種類くらいですが、それで十分ですか?
その他の回答 (1)
- notnot
- ベストアンサー率47% (4848/10261)
データも含めた長さです。
お礼
データも含めた長さですか。 助かりました。 追加情報もいただき ありがとうございます。
関連するQ&A
- iptablesでNATログを取りたい。
CentOS6.3のiptablesにて 192.168.1.0/24(eth1)→192.168.13.254(eth0) 192.168.2.0/24(eth2)→192.168.13.254(eth0) と、二つのLANをeth0に向けてNAPTするよう設定しています。 ただ実際、LANからeth0へのアドレスが変換されているかの情報を知りたいと思っております。 そこで以下設定を記述してみました。 ・iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 LOG --log-prefix "1_MASQ_LOG : " --log-level=debug -j MASQUERADE ・iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/24 LOG --log-prefix "2_MASQ_LOG : " -j MASQUERADE 実行しようとすると、LOG部分がエラーになり実施できません。 どのように、設定すれば変換ログ情報を取得できるでしょうか? ご教授お願いします。
- 締切済み
- Linux系OS
- DNSとiptablesについて
DNSの仕組みについて分からないので教えて頂きたいです。 現在、マスターとスレーブサーバを構築しており、外向きの 名前解決など動作的には正常に動作していると思われます。 サーバはCentosで構築しており、iptablesで設定しています。 iptablesの一部で以下のように設定をしているのですが・・・ ------------------------------------------------------------------------- iptables -A INPUT -p udp --dport 53 -j ACCEPT iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT ------------------------------------------------------------------------- 1.まず、TCP/UDP共にポートを開けておかないといかないと思うのですが、送信元 はANYで許可しておかないとダメでしょうか? 上位DNSサーバからの参照などに使われますよね? もちろんbindの設定で、ゾーン転送はスレーブサーバへのみ許可しています。 2.スレーブサーバへのゾーン転送もできているのですが、マスタサーバ側のiptables のログに下記のようなものが残っています。 送信元IPはスレーブサーバのIPでUDP送信ポート53が使われているようなのですが 送信ポート53は何に使われているのでしょうか?宛先ポート53との違いは? -------------------------------------------------------------------------- SRC=送信元IP DST=宛先IP LEN=72 TOS=0x00 PREC=0x00 TTL=62 ID=20999 PROTO=UDP SPT=53 DPT=47046 LEN=52 -------------------------------------------------------------------------- スレーブの53ポートからの通信がDNSの動作に必要なものであれば、iptablesのルールを追加 しようと思います。 情報が少ない場合は補足できる範囲で補足させて頂きます。 よろしくお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
- LINUXのiptablesについて
通常LINUXのコマンドライン上で新たにiptablesルールを作り直すとき # iptablse -F # iptables -P INPUT DROP # iptables -P OUTPUT ACCEPT # iptables -P FORWARD DROP # service iptables save と上記のようにコマンドを叩いて、あたらしいデフォルトのチェインポリシーを 事前に定義するもののようです。 この後【/etc/sysconfig/iptablse】というファイルを覗いてみると、 # Generated by iptables-save v1.4.7 on Wed Sep 5 06:20:56 2012 *filter :INPUT DROP [1:151] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] COMMIT # Completed on Wed Sep 5 06:20:56 2012 上記のような内容がiptablesに記述されていると思います。 おそらくこれに特定の条件のみ パケットを受信するportを開放したりする記述を追記していくものと存じます。 たとえば -A INPUT -p tcp --dport 22 -J ACCEPT などと記述して他ホストからのssdポートへのアクセスを 許可するといったかんじですね。 ただ冒頭のデフォルトのポリシーの設定に関しては、やはりコマンドライン上で # iptablse -F # iptables -P INPUT DROP # iptables -P OUTPUT ACCEPT # iptables -P FORWARD DROP # service iptables save このようなコマンドを叩いて設定するのが普通なのでしょうか? 例えば、デフォルトポリシーを直接 ファイルに記述するといったことはしないのでしょうか? ================================================================= *filter #以下で、デフォルトのフィルタポリシーを設定する -P INPUT DROP -P OUTPUT ACCEPT -P FORWARD DROP COMMIT ================================================================= 上記のように、直接iptablesの書式で書き込むように・・。 気になった理由としてはコマンドラインでデフォルトポリシーを指定した場合と コマンド -Aをつかって任意のportを開放する指定をした時の記述が異なることがきになっているのです。 デフォルトポリシーの記述は :INPUT DROP [1:151] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] 上記のような 行頭にコロンがついたような記述になっているのに -A INPUT -p tcp --dport 22 -J ACCEPT 上記のような -Aコマンドを叩いたときは、そのままコマンドがiptablseファイルに記述されているように思います。 :INPUT DROP [1:151] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -P INPUT DROP -P OUTPUT ACCEPT -P FORWARD DROP 上記の二種類の書き方を直接iptablesに記述してもキチンと動作します。 なぜ、上記のようにデフォルトポリシーに関しては二種類の書き方が存在するのでしょうか?
- ベストアンサー
- Linux系OS
- iptablesのログ記述について
http://www.atmarkit.co.jp/flinux/rensai/iptables01/template01.html を参考に勉強しなおしているのですが iptables -N LOGGING iptables -A LOGGING -j LOG --log-level warning --log-prefix "DROP:" -m limit iptables -A LOGGING -j DROP iptables -A INPUT -j LOGGING iptables -A OUTPUT -j LOGGING の内容でわからないことがあります。 一番下の3行 一.iptables -A INPUT -j LOGGING 二.iptables -A OUTPUT -j LOGGING 三.iptables -A LOGGING -j DROP 一.無効パケットの破棄(DROP)を指定し、ログ出力の後に破棄されるようにします。 二.INPUTおよびOUTPUTチェインに対し、このLOGGINGが行われるように設定します。 この二つの意味の違いがよくわからないのです。 一は「パケット廃棄→ログ出力」の流れは分かるのですが、 二は、「INPUT処理、OUTPUT処理」→「ログ出力?」 同じ処理ではないのでしょうか? ということですと、 「一と二で同じ処理をするのに、 LOGGINGのチェインの位置が変わっている」のはなぜなのでしょうか? とわからなくなっています。 ご教授お願いします。
- ベストアンサー
- Linux系OS
- iptablesの設定について
RHEL5でのiptable設定で、 iptablesを無効にしている状態と、以下の設定はイコールで、 All許可で良いのでしょうか。 iptqbles -P INPUT ACCEPT Iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT
- ベストアンサー
- ネットワーク
- CentOS6.5のiptablesについて
CentOS6.5において、こちらのサイトhttp://centossrv.com/iptables.shtml を参考にiptablesのスクリプトを作成しました。 いざ sh iptables.shで実行しようとすると iptables: チェインをポリシー ACCEPT へ設定中filter [ OK ] iptables: ファイアウォールルールを消去中: [ OK ] iptables: モジュールを取り外し中: [ OK ] iptables: ファイアウォールルールを適用中: Bad argument `ACCEPT' Error occurred at line: 9 Try `iptables-restore -h' or 'iptables-restore --help' for more information. [失敗] と表示されます。 9行目付近は 1 #!/bin/bash 2 3 4 # デフォルトルール(以降のルールにマッチしなかった場合に適用するルール)設 定 5 IPTABLES_CONFIG=`mktemp` 6 echo "*filter" >> $IPTABLES_CONFIG 7 echo ":INPUT DROP [0:0]" >> $IPTABLES_CONFIG # 受信はすべて破棄 8 echo ":FORWARD DROP [0:0]" >> $IPTABLES_CONFIG # 通過はすべて破棄 9 echo ":OUTPUT ACCEPT [0:0]" >> $IPTABLES_CONFIG # 送信はすべて許可 10 echo ":ACCEPT_COUNTRY - [0:0]" >> $IPTABLES_CONFIG # 指定した国からのア> クセスを許可 11 echo ":DROP_COUNTRY - [0:0]" >> $IPTABLES_CONFIG # 指定した国からのア> クセスを破棄 12 echo ":LOG_PINGDEATH - [0:0]" >> $IPTABLES_CONFIG # Ping of Death攻撃は ログを記録して破棄 とサイトと同じ内容になっています。 空白など無駄なものが挿入されていないか確認しましたがありませんでした。 解決できるようどうかお力添えをお願いします。
- ベストアンサー
- ネットワーク
- iptablesのルールについて
あるサイトを参考にiptablesを見直していました。 下記内容で、iptablesのルールを記述し、iptablesを再起動したら 80番の通信のみ許可される。 と記述されていました。 ただ、 >:INPUT ACCEPT [0:0] の内容で、INPUTのデフォルトルールが全許可になるのではないのでしょうか? よって、RH-Firewall-1 で80番の通信を許可しても意味がないような気がするのですが 私の考えが間違っているでしょうか? ご教授お願いします。 =======↓iptables参考ファイル======= vim /etc/sysconfig/iptables :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 80 -j ACCEPT ~(割愛)~
- ベストアンサー
- Linux系OS
- iptablesのPolicyについて
iptablesのfilterテーブルに 「Chain INPUT」 「Chain FORWARD」 「Chain OUTPUT」 があると思います。 ただ、 I.「Chain INPUT(Policy Accept)」 II.「Chain INPUT (Policy DROP)」 の二種類の指定方法があるのを知りました。 Iは、全通信許可にし、必要に応じて禁止チェインを記述する。 IIは、全通信禁止にし、必要に応じて許可チェインを記述する。 だと考えております。 IとIIどちらでiptablesを作成するほうがいいのでしょうか? やはり、IIで全通信を塞いで、通信解放していく方が良いのでしょうか?
- ベストアンサー
- Linux系OS
- iptables ポートフォワーディングについて
ポートフォワーディングの設定を行いたくて試しにやっているのですが、 うまくいかないので教えていただけないでしょうか。 WinXPクライアント(192.168.1.22) | Linuxルーター(eth0=192.168.1.40, eth1=192.168.2.41)起動しているサーバーはssh,telnet,ftp,http,postgresです。 | LinuxWebサーバー(eth0=192.168.2.81 port=80)起動しているサーバーはssh,telnet,ftp,http,postgres,cvspserverです。 WinXPクライアントからLinuxWebサーバーにアクセスしたいのですが、以下のように設定しても WinXPクライアントのブラウザには「サーバーが見つかりません」と表示されてしまいます。 他に追記すべき設定、お気づき等ございましたら教えてください。よろしくお願いします。 Linuxルーターのiptables設定内容(service iptables stopを行った後、以下を設定しております) iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.2.81:80 iptables -A FORWARD -d 192.168.2.81 -p tcp --dport 80 -j ACCEPT ------------------------------------------------------------- 上記設定後iptables -Lとしてみたら以下のように表示されました。 Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT tcp -- anywhere 192.168.2.81 tcp dpt:http Chain OUTPUT (policy ACCEPT) target prot opt source destination さらにservice iptables saveをして cat /etc/sysconfig/iptablesとしてみたところ以下のように表示されました。 # Generated by iptables-save v1.3.5 on Sat Jan 30 11:46:10 2010 *nat :PREROUTING ACCEPT [2:280] :POSTROUTING ACCEPT [2:115] :OUTPUT ACCEPT [2:115] -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.2.81:80 COMMIT # Completed on Sat Jan 30 11:46:10 2010 # Generated by iptables-save v1.3.5 on Sat Jan 30 11:46:10 2010 *filter :INPUT ACCEPT [148:9894] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [169:16447] -A FORWARD -d 192.168.2.81 -p tcp -m tcp --dport 80 -j ACCEPT COMMIT # Completed on Sat Jan 30 11:46:10 2010 ------------------------------------------------------------- ちなみに以下のように設定してWinXPクライアントからsshで192.168.1.40の10000ポートに接続すると接続できました。 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 10000 -j DNAT --to 192.168.2.41:22 ------------------------------------------------------------- 以下のように設定してWinXPクライアントから「telnet 192.168.1.40 10000」コマンドを発行してみるとしていない 時と比べて「接続中: 192.168.1.40...」となっている時間が長いので何かしら影響しているのかなと思います。 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 10000 -j DNAT --to 192.168.2.81:23
- 締切済み
- ネットワーク
- iptablesを設定するとメールが送受信できません
iptablesを設定すると外部からのメールの送受信ができません。 iptablesを止めると送受信ができます。 メールサーバー(OpenSSL+Postfix+Dovecot) OS:CentOS5 iptables内容: #!/bin/bash # set LOCALNET=(IPアドレス) #IPTABLES STOP /etc/rc.d/init.d/iptables stop #Default Rule iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP #LOCAL ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s $LOCALNET -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # SSH iptables -A INPUT -p tcp --dport 22 -j ACCEPT #HTTP iptables -A INPUT -p tcp --dport 80 -j ACCEPT # SSL iptables -A INPUT -p tcp --dport 443 -j ACCEPT #SMTPS iptables -A INPUT -p tcp --dport 465 -j ACCEPT #POP3S iptables -A INPUT -p tcp --dport 995 -j ACCEPT /etc/rc.d/init.d/iptables save /etc/rc.d/init.d/iptables start DNSは外部のを使っています。 サーバーには外部からSSHでアクセスしています。 iptablesを設定しても当たり前ですがSSHでアクセスができます。 メールはエラーというよりメーラーから出ていきません。 サイトにはアクセスができます。 ポートは空いています。 ただiptablesを設定すると465と995は到達ができません。 http://www.cman.jp/network/support/port.html こちらでチェック iptablesを止めるとすべてがうまくいくのでiptablesが原因だと思っていますが 素人すぎて情けないですがご教授のほど宜しくお願いします。,<(_ _)>
- ベストアンサー
- ハードウェア・サーバー
お礼
情報ありがとうございます。 >LOGの設定をしても、得られる情報は、IPアドレス、ポート番号、長さ、パケットの種類くらいですが、それで十分ですか? あれから調べてみたのですが、長さとは、IPヘッダの長さでしょうか? データ全体の長さを取得できればいいな と思っているのです。