[PLUTO-security] [iptables] - curiosita' sui log

Luca Sollazzo tailgunner75 a email.it
Ven 23 Apr 2004 15:19:25 CEST


On Friday 23 April 2004 13:38, Alessandro R. wrote:
> On Fri, Apr 23, 2004 at 01:28:01PM +0200, Tailgunner75 wrote:
> [cut]
>
> > ora prova a scaricare la posta
> > da un server pop3 ... :)
>
> sara' dura scaricare la posta da un pop3 visto che nn c'e' nessuna
> regola che mi permette di farlo.

infatti... ma ti appariranno i log delle connessioni rifiutate... 

>
> Cmq in linea di massima la mia idea [sperimentale] era quella di
> bloccare tutto il traffico tranne quello sulla porta 80, e capire
> in che modo venissero lette le rules. Ora ho capito...
> Posso anche addentrarmi in regole molto piu' complesse ;)

ma certo.... basta che non le vai a scrivere su un fw in produzione... :D 
(almeno per i primi tempi... )

>
> Una cosa che volevo appronfondire: Stefano ha detto che
> nel caso di *limit* si possono perdere dei LOG importanti.
> Che cosa intendevi?Mi fai un esempio?

limit matcha un certo numero di pacchetti in un determinato di tempo... 
(valori che assegni tu) quando lo usi per loggare, vengono registrati nel log 
solo i pacchetti matchati in base a tali valori... e non tutti quelli che 
dovresti loggare... pertanto se tra i pacchetti non loggati c'è qualcosa che 
andrebbe visto.... tu non lo vedrai mai. 

generalmente lo si usa per limitare la crescita abnorme dei file di log, ma 
secondo me conviene usarlo per loggare messaggi non critici, utili per 
esempio a campionare il tipo di traffico e per fare delle statistiche.... 
quanto alla crescita dei log.... ci pensa logrotate ;)

Ciao, 
 Luca


Maggiori informazioni sulla lista pluto-security