ipfilter и логгирование

SunOS, Solaris, OpenSolaris, SmartOS

Модератор: weec

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
skeletor
майор
Сообщения: 2372
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

ipfilter и логгирование

Непрочитанное сообщение skeletor » 2011-12-09 13:21:45

Не могу никак включить логгирование. Вот список правил:

Код: Выделить всё

# ipfstat -io
pass out log all
pass in log all

Для логгирования в файл добавил такую строку в /etc/syslog.conf

Код: Выделить всё

local0.*                                    /var/log/ipflog

перезапустил svc:/system/system-log:default. Вот статистика:

Код: Выделить всё

# ipfstat
bad packets:            in 0    out 0
 IPv6 packets:          in 4340 out 1752
 input packets:         blocked 0 passed 56772 nomatch 4361 counted 0 short 0
output packets:         blocked 0 passed 6280 nomatch 1757 counted 0 short 0
 input packets logged:  blocked 0 passed 49844
output packets logged:  blocked 0 passed 4119
 packets logged:        input 0 output 0
 log failures:          input 1690 output 706
fragment state(in):     kept 0  lost 0  not fragmented 0
fragment state(out):    kept 0  lost 0  not fragmented 0
packet state(in):       kept 0  lost 0
packet state(out):      kept 0  lost 0
ICMP replies:   0       TCP RSTs sent:  0
Invalid source(in):     0
Result cache hits(in):  0       (out):  0
IN Pullups succeeded:   3       failed: 0
OUT Pullups succeeded:  0       failed: 0
Fastroute successes:    0       failures:       0
TCP cksum fails(in):    0       (out):  0
IPF Ticks:      132541
Packet log flags set: (0)
        none

Код: Выделить всё

# ipfstat -s
IP states added:
        0 TCP
        0 UDP
        0 ICMP
        0 hits
        0 misses
        0 bucket full
        0 maximum rule references
        0 maximum
        0 no memory
        0 bkts in use
        0 active
        0 expired
        0 closed
State logging disabled

State table bucket statistics:
        0 in use
        0% hash efficiency
        0.00% bucket usage
        0 minimal length
        0 maximal length
        0.000 average length

Не пойму, почему оно не логгирует? В инете везде вижу

Код: Выделить всё

State logging enabled

, а у меня оно disable.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

_Andy
проходил мимо

Re: ipfilter и логгирование

Непрочитанное сообщение _Andy » 2011-12-13 9:44:33

skeletor писал(а):Для логгирования в файл добавил такую строку в /etc/syslog.conf

Код: Выделить всё

local0.*                                    /var/log/ipflog

перезапустил svc:/system/system-log:default.

Код: Выделить всё

logger -p local0.debug -t hello "test message"

Появляется что-нибудь в логе? Вообще в документации
указано:

Код: Выделить всё

I have IPMon logging to syslog, but syslog doesn't log anything, why not?

    IPF logs as local0 so you'll want something to the effect of:
    local0.debug /var/log/ipf.log
    in your syslog.conf. NOTE: There has to be atleast one TAB in that line, not just spaces.

Насколько я помню, соляровый сислог не умеет .*, ему надо .debug, *.notice и так далее.

Аватара пользователя
skeletor
майор
Сообщения: 2372
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: ipfilter и логгирование

Непрочитанное сообщение skeletor » 2011-12-13 13:08:00

Спасибо, как-то не обратил внимание.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

_Andy
проходил мимо

Re: ipfilter и логгирование

Непрочитанное сообщение _Andy » 2011-12-13 14:02:51

skeletor писал(а):Спасибо, как-то не обратил внимание.

Заработало?

Аватара пользователя
skeletor
майор
Сообщения: 2372
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: ipfilter и логгирование

Непрочитанное сообщение skeletor » 2011-12-13 14:17:46

Логи в local0.debug попадают, если логгировать из консоли. А с файера - нету ничего.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

_Andy
проходил мимо

Re: ipfilter и логгирование

Непрочитанное сообщение _Andy » 2011-12-14 8:49:32

skeletor писал(а):Логи в local0.debug попадают, если логгировать из консоли. А с файера - нету ничего.

А версия Solaris какая?

Аватара пользователя
skeletor
майор
Сообщения: 2372
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: ipfilter и логгирование

Непрочитанное сообщение skeletor » 2011-12-14 12:22:28

11
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"


Аватара пользователя
skeletor
майор
Сообщения: 2372
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: ipfilter и логгирование

Непрочитанное сообщение skeletor » 2011-12-15 15:15:29

Попробую, отпишусь потом.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Аватара пользователя
skeletor
майор
Сообщения: 2372
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: ipfilter и логгирование

Непрочитанное сообщение skeletor » 2011-12-15 16:33:35

Очень странно, но при случайном ребуте сервака - логи начали писаться :)
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

_Andy
проходил мимо

Re: ipfilter и логгирование

Непрочитанное сообщение _Andy » 2011-12-16 8:32:10

skeletor писал(а):Очень странно, но при случайном ребуте сервака - логи начали писаться :)

Еще есть вопросы, почему эта система говно? :) Надо было рестартовать поочередно ipf, syslog и
поглядеть, пошли ли логи. Может быть дескриптор лог файла еще использовался, а самого файла уже не существовало.

Аватара пользователя
skeletor
майор
Сообщения: 2372
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: ipfilter и логгирование

Непрочитанное сообщение skeletor » 2011-12-16 11:55:10

:-P Эта система не говно! Что мне понравилось из того, что раньше не встречал: ограничение по процам (какие именно использовать, сколько минимально, сколько максимально, сколько гарантировано), памяти (то же, что и по процам), количеству запускаемых процессов, зоны и работа с ними, разграничение прав (например, право только на перезапуск одной службы), а чего стоит сама zfs :). Но это только то, что успел узнать (а ещё много чего там другого есть).
Во фряхе есть что-то подобное?
Сравните зоны и Jail - без поддержки сети (точнее есть, но на уровне присвоить IP)
Сравните Resorse Management и классы из login.conf
Сравните zfs и ufs
Сравните RBAC и .... (даже не знаю, есть ли в FreeBSD такое)
Насколько я понял, эта система предназначена для управления не одним администратором, а несколькими, у которых только чёткие права.

ПС. Не хочу больше спорить на эту тему, останемся каждый при своём мнении. :) Фряха тоже хорошая. Но эти ОС (фряха и солярка) используются каждая для своих целей.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

_Andy
проходил мимо

Re: ipfilter и логгирование

Непрочитанное сообщение _Andy » 2011-12-16 12:39:08

skeletor писал(а)::-P Эта система не говно! Что мне понравилось из того, что раньше не встречал: ограничение по процам (какие именно использовать, сколько минимально, сколько максимально, сколько гарантировано), памяти (то же, что и по процам), количеству запускаемых процессов, зоны и работа с ними, разграничение прав (например, право только на перезапуск одной службы), а чего стоит сама zfs :). Но это только то, что успел узнать (а ещё много чего там другого есть).

Ограничения не юзал, не скажу, ибо необходимости не было.
skeletor писал(а):Во фряхе есть что-то подобное?

Понятия не имею, я с ней почти не работаю.
skeletor писал(а):Сравните зоны и Jail - без поддержки сети (точнее есть, но на уровне присвоить IP)

Давайте сравним OpenVZ и Zones. ;]
skeletor писал(а):Сравните Resorse Management и классы из login.conf

Как уже говорил не пользуюсь.
skeletor писал(а):Сравните zfs и ufs

zfs удобно, согласен.
skeletor писал(а):Сравните RBAC и .... (даже не знаю, есть ли в FreeBSD такое)

sudo хватает. А роли вещь тоже спорная.
skeletor писал(а):Насколько я понял, эта система предназначена для управления не одним администратором, а несколькими, у которых только чёткие права.

Делегировать полномочия можно и в других ос.
skeletor писал(а):ПС. Не хочу больше спорить на эту тему, останемся каждый при своём мнении. :) Фряха тоже хорошая. Но эти ОС (фряха и солярка) используются каждая для своих целей.

Если есть sparc, какой-нибудь T5440, попробуйте logical domains. Интересная вещь.

Аватара пользователя
skeletor
майор
Сообщения: 2372
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: ipfilter и логгирование

Непрочитанное сообщение skeletor » 2011-12-16 13:37:57

Спарка под рукой нету :(
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"


Вернуться в «SunOS»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 3 гостя