PF + log

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

PF + log

Непрочитанное сообщение maradona » 2008-05-25 0:43:08

такая проблема: FreeBSD 6.3 перестал писаться лог PF (токо заметил надобности не было, щас есть) с конца февраля в чем может быть причина? фаер работает все тип-топ вот конфиги:

Код: Выделить всё

[root@guga /usr/home/putin]# ifconfig
rl0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet 192.168.1.158 netmask 0xffffff00 broadcast 192.168.1.255
        inet 192.168.1.159 netmask 0xffffff00 broadcast 192.168.1.255
        inet 192.168.1.185 netmask 0xffffff00 broadcast 192.168.1.255
        inet 192.168.1.187 netmask 0xffffff00 broadcast 192.168.1.255
        ether 00:0e:2e:a9:6f:9e
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8149<UP,LOOPBACK,RUNNING,PROMISC,MULTICAST> mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
pflog0: flags=141<UP,RUNNING,PROMISC> mtu 33208
tun0: flags=8151<UP,POINTOPOINT,RUNNING,PROMISC,MULTICAST> mtu 1478
        inet 194.44.ххх.хх --> 192.168.1.1 netmask 0xffffffff
        Opened by PID 428
ng0: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng1: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng2: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng3: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng4: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng5: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
ng6: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> mtu 1500
rc.conf

Код: Выделить всё

pf_enable="YES"
pf_rules="/etc/pf.conf"
pflog_enable="YES"
логи нужны из этих правил:

Код: Выделить всё

block  in log quick on $int_if inet proto {tcp, udp} from 192.168.1.0/24 to 192.168.1.187 port 4010
block in log quick on $int_if inet proto {tcp, udp} from 192.168.1.0/24 to 192.168.1.185 port 4000

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: PF + log

Непрочитанное сообщение maradona » 2008-05-26 17:47:56

ну что всетаки может быть? демон работает:

Код: Выделить всё

[root@guga /usr]# ps -aux | grep pflogd
root    31927  0,0  0,2  1568   600  ??  Is   вс14      0:00,00 pflogd: [priv]
_pflogd 31928  0,0  0,3  1632   672  ??  S    вс14      0:03,90 pflogd: [suspen
root    24068  0,0  0,4  1612   916  p1  S+   17:43     0:00,00 grep pflogd
[root@guga /usr]#
и еще кстати пробовал писать правило как написано здесь:http://www.openbsd.org/faq/pf/logging.html

Код: Выделить всё

block  in log (all, pflog0) quick on $int_if inet proto {tcp, udp} from 192.168.1.0/24 to 192.168.1.187 port 4010
но выдает синтакс эрор почему?! тоже не понятно....

Аватара пользователя
psj
ефрейтор
Сообщения: 66
Зарегистрирован: 2007-10-29 13:44:50

Re: PF + log

Непрочитанное сообщение psj » 2008-05-27 10:15:39

Очень важен правильный синтаксис. Посмотри тут. Очень хорошо описано.
http://house.hcn-strela.ru/BSDCert/BSDA ... ule-syntax
В правильно заданном вопросе 80% ответа

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: PF + log

Непрочитанное сообщение maradona » 2008-05-27 22:20:13

все разобрался не то ядро грузилось без device pflog, значение log стоит тоько в 2-х блокирующих правилах почему в логе такое?:

Код: Выделить всё

[root@guga /usr/home/putin]# tcpdump -n -e -ttt -r /var/log/pflog
reading from file /var/log/pflog, link-type PFLOG (OpenBSD pflog file)
000000 rule 8/unkn(8): pass in on rl0: 192.168.1.66 > 224.0.0.22: igmp v3 report, 1 group record(s)
003315 rule 8/unkn(8): pass in on rl0: 192.168.1.66 > 224.0.0.22: igmp v3 report, 1 group record(s)
031608 rule 8/unkn(8): pass in on rl0: 192.168.1.66 > 224.0.0.22: igmp v3 report, 1 group record(s)
005210 rule 8/unkn(8): pass in on rl0: 192.168.1.66 > 224.0.0.22: igmp v3 report, 1 group record(s)
524352 rule 8/unkn(8): pass in on rl0: 192.168.1.66 > 224.0.0.22: igmp v3 report, 1 group record(s)
45. 938377 rule 8/unkn(8): pass in on rl0: 192.168.1.107 > 224.0.0.22: igmp v3 report, 1 group record(s)
592333 rule 8/unkn(8): pass in on rl0: 192.168.1.107 > 224.0.0.22: igmp v3 report, 1 group record(s)
9. 617002 rule 8/unkn(8): pass in on rl0: 192.168.1.12 > 224.0.0.22: igmp v3 report, 1 group record(s)
697645 rule 8/unkn(8): pass in on rl0: 192.168.1.12 > 224.0.0.22: igmp v3 report, 1 group record(s)
69. 662505 rule 8/unkn(8): pass in on rl0: 192.168.1.89 > 224.0.0.22: igmp v3 report, 1 group record(s)
508196 rule 8/unkn(8): pass in on rl0: 192.168.1.89 > 224.0.0.22: igmp v3 report, 1 group record(s)
40. 037622 rule 8/unkn(8): pass in on rl0: 192.168.1.7 > 224.0.0.22: igmp v3 report, 1 group record(s)
003254 rule 8/unkn(8): pass in on rl0: 192.168.1.7 > 224.0.0.22: igmp v3 report, 1 group record(s)
651581 rule 8/unkn(8): pass in on rl0: 192.168.1.7 > 224.0.0.22: igmp v3 report, 1 group record(s)
2. 740830 rule 8/unkn(8): pass in on rl0: 192.168.1.7 > 224.0.0.22: igmp v3 report, 1 group record(s)
759210 rule 8/unkn(8): pass in on rl0: 192.168.1.7 > 224.0.0.22: igmp v3 report, 1 group record(s)
83. 273817 rule 8/unkn(8): pass in on rl0: 192.168.1.121 > 224.0.0.22: igmp v3 report, 1 group record(s)
009611 rule 8/unkn(8): pass in on rl0: 192.168.1.121 > 224.0.0.22: igmp v3 report, 1 group record(s)
903906 rule 8/unkn(8): pass in on rl0: 192.168.1.121 > 224.0.0.22: igmp v3 report, 1 group record(s)
10. 631806 rule 8/unkn(8): pass in on rl0: 192.168.1.109 > 224.0.0.22: igmp v3 report, 1 group record(s)
510377 rule 8/unkn(8): pass in on rl0: 192.168.1.109 > 224.0.0.22: igmp v3 report, 1 group record(s)
29. 361302 rule 8/unkn(8): pass in on rl0: 192.168.1.121 > 224.0.0.22: igmp v3 report, 1 group record(s)
007625 rule 8/unkn(8): pass in on rl0: 192.168.1.121 > 224.0.0.22: igmp v3 report, 1 group record(s)
546182 rule 8/unkn(8): pass in on rl0: 192.168.1.121 > 224.0.0.22: igmp v3 report, 1 group record(s)
71. 916715 rule 8/unkn(8): pass in on rl0: 192.168.1.53 > 224.0.0.22: igmp v3 report, 1 group record(s)
712531 rule 8/unkn(8): pass in on rl0: 192.168.1.53 > 224.0.0.22: igmp v3 report, 1 group record(s)

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: PF + log

Непрочитанное сообщение manefesto » 2008-05-28 11:23:43

почитай лучше про pf ,а потом спрашивай, навскидку....в правиле включено логирование для pass
я такой яростный шо аж пиздеЦ
Изображение

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: PF + log

Непрочитанное сообщение maradona » 2008-05-28 13:32:33

manefesto писал(а):почитай лучше про pf ,а потом спрашивай, навскидку....в правиле включено логирование для pass
да не включено!

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: PF + log

Непрочитанное сообщение maradona » 2008-05-28 13:36:33

/etc/pf.conf

Код: Выделить всё

ext_if="tun0"
int_if="rl0"
client1="192.168.1.2"
client3="192.168.1.170"
client4="192.168.1.154"
client5="192.168.1.228"
int_net= "{" $client1 $client3 $client4 $client5 "}"
ftp_rdr= "{" $client5 "}"
www_port="{ 80 }"
ftp_port="{21}"
table <ftpvalid> file "/etc/ftpvalid"
#MACRO END

#SETING
set loginterface rl0
set optimization normal
set fingerprints "/etc/pf.os"
#END

#RDR
rdr on $int_if inet proto {tcp, udp} from $int_net to any port $www_port -> 192.168.1.158 port 3128
rdr on $int_if inet proto {tcp, udp} from $ftp_rdr to any port $ftp_port -> 192.168.1.158 port 2121
rdr on $int_if inet proto {tcp, udp} from 192.168.1.0/24 to 192.168.1.187 port $ftp_port -> 192.168.1.187 port 4010

#NAT
nat on $ext_if from $int_net to any -> ($ext_if)
nat on $ext_if from 192.168.1.179 to any -> ($ext_if)

#RULES
pass in quick on $int_if inet proto {tcp, udp} from <ftpvalid> to 192.168.1.187 port 4010
pass in quick on $int_if inet proto {tcp, udp} from <ftpvalid> to 192.168.1.185 port 4000
block  in log quick on $int_if inet proto {tcp, udp} from 192.168.1.0/24 to 192.168.1.187 port 4010
block in log  quick on $int_if inet proto {tcp, udp} from 192.168.1.0/24 to 192.168.1.185 port 4000
pass all

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: PF + log

Непрочитанное сообщение manefesto » 2008-05-28 13:53:04

Код: Выделить всё

set loginterface interface

Задать интерфейс для которого пакетный фильтр собирает статистическую информацию: количество прошедших пакетов, количество заблокированных пакетов, сколько байт вошло, сколько вышло. Статистику можно собирать одновременно только на одном интерфейсе. При этом, счётчики match, bad-offset и т.п., а также счётчики в таблице состояний, работают независимо от этой опции. Чтобы отключить сбор статистики следует выставить опцию в none. Значение по умолчанию — none.
Точно не уверен...но кажется он логирует ВСЕ пакеты....могу ошибаться
я такой яростный шо аж пиздеЦ
Изображение

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: PF + log

Непрочитанное сообщение maradona » 2008-05-28 15:51:49

убрал вообще строку:

Код: Выделить всё

set loginterface rl0
в логе тоже самое лезет..

Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: PF + log

Непрочитанное сообщение manefesto » 2008-05-28 18:20:45

когда то я настраивал в файрвол pf на openbsd.
Сейчас уже не припомню, пошукай в инете....где то был полный перевод доки по pf
я такой яростный шо аж пиздеЦ
Изображение

maradona
сержант
Сообщения: 188
Зарегистрирован: 2007-12-13 1:06:44
Откуда: г. Ровно
Контактная информация:

Re: PF + log

Непрочитанное сообщение maradona » 2008-05-28 19:35:10

короче добавил правило:

Код: Выделить всё

block in quick on $int_if inet proto igmp from any to any
теперь лог не растет в размере :P :P