You are not logged in.
bonjour a tous
J'ais actuellement un serveur qui fait office de proxy.
Ce dernier n'a qu'une carte reseau.
Il fonctionne parfaitement et je voudrais installer iptables .chose faite et cela marche.
Maintenant je souhaite filtrer un site que les utilisateurs ne doivent pas consulter :
iptables -A OUTPUT -d 212.27.63.164 -j DROP (l'adresse utilisée n'est qu'un exemple)
Jusque la tous va bien mais maintenant je voudrais loguer les utilisateurs qui viennent sur cette adresse :
iptables -t nat -A POSTROUTING -d 212.27.63.164 -j LOG
ou
iptables -A OUTPUT -d 212.27.63.164 -j LOG
Le blocage est toujours effectif mais pas de log ????????
Si quelqu'un avait une solution car il est important que je puisse recense les ip accedant a cette adresse.
Merci a vous
Fabrice
Last edited by Fabrice123 (06 Apr 2010 11:53:47)
Offline
Hello,
La cible DROP interromp immédiatement le traitement du paquet quand elle se déclenche, donc pour que le LOG marche il faut absolument qu'il soit atteint avant le DROP. Or par défaut, iptables -A ajoute la régle à la fin de la table. Es-tu sûr d'avoir les règles dans le bon ordre ?
Deuxièmement, ou regardes-tu pour obtenir les logs ? ils doivent apparaitre dans le log noyau (commande dmesg), s'il n'y sont pas c'est que la règle ne marche pas. Il sont aussi envoyés sur le syslog, mais il faut que syslog soit correctement configuré pour les poser ou tu veux (la facility sera "kernel")
D'autres détails en vrac:
Iptables n'est pas forcément la meilleure solution pour le "filtrage de sites", il faudrait préciser ce que tu veux faire. Si c'est pour du filtrage web, un proxy obligatoire donnera moins de faux positifs, et pourra observer plus de choses .
Tu utilises une règle stateless, qui se déclenchera aussi en réponse à une connexion venant de l'extérieur. Si tu es derrière du nat ce n'est pas un problème (les connexions entrantes ne passeront pas), mais si un site interdit se met a scanner tes machines, ton log sera pollué de faux positifs.
Enfin, la règle de log est a priori plus à sa place dans la table filter que dans la table nat, c'est plus propre (question de goût...)
Offline