[PLUTO-security] [iptables] - curiosita' sui log

Stefano Callegari ste.callegari a tiscali.it
Ven 23 Apr 2004 16:04:03 CEST


Il 23apr 13:38, Alessandro R. scrisse:
> On Fri, Apr 23, 2004 at 01:28:01PM +0200, Tailgunner75 wrote:
[cut]
> Una cosa che volevo appronfondire: Stefano ha detto che
> nel caso di *limit* si possono perdere dei LOG importanti.
> Che cosa intendevi?Mi fai un esempio?

Prendo la regola che hai postato nell'altro messaggio.

#iptables -D FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-prefix "Forward Decision "

Se non ricordo male (c'è sempre la doc a supportare), con questa regola
dovresti accettare solo 3 log nei prossimi 3 minuti. Scaduti questi,
verrà controllato se la coda del log si è liberata nel frattempo (cioè
non sono stati droppati o, nel tuo caso, arrivati altri pacchetti) e
scriverà un nuovo log per ogni "posizione" libera.

Questo è fatto principalmente per non avere tonnellate di log
soprattutto in caso di attacchi tipo DOS.

In pratica il log funziona a campione. Capisci quindi come valori
troppo bassi come i tuoi potrebbero risultare troppo limitato per un
traffico normale e nel tuo caso non registrare il traffico.

Ciao
-- 
Stefano Callegari
LinuxRegistered: User 248729 - Machine 133534
Via Frassanedo 2 - Saonara (PD) - Italy


Maggiori informazioni sulla lista pluto-security