Bonjour je débute sous linux...et je galère à m'y retrouver parfois.  ok souvent

Mon soucis actuel est que j'aimerais voir les logs de mes iptables.

#!/bin/bash


### Déclaration de variables
LOCAL=127.0.0.1
ETH=loulou

### Nettoyage des règles et suppression des chaînes vides
iptables -F
iptables -X

### Ignoré tous les paquets entrants/sortants/transitants
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

### Autorise les connexions établies et relatives
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

### Initialisation de la boucle locale
iptables -A INPUT --src $LOCAL --dest $LOCAL -j ACCEPT
iptables -A OUTPUT --src $LOCAL --dest $LOCAL -j ACCEPT

### Autorise le DNS en TCP/UDP
iptables -A OUTPUT -o $ETH -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -o $ETH -p tcp --dport 53 -j ACCEPT

### Autorise le SSH pour les postes 5 et 9
iptables -A INPUT --src 10.0.0.5 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT --src 10.0.0.9 -p tcp --dport 22 -m state --state NEW -j ACCEPT

### Autorise le ping
iptables -A INPUT -i $ETH -p icmp --icmp-type 8 -m state --state NEW -j ACCEPT

### Autorise le HTTP/HTTPS
iptables -A INPUT -i $ETH -p tcp --dport 3128 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o $ETH -p tcp --match multiport --dports 80,443 -m state --state NEW -j ACCEPT

### LOGS
iptables -N INPDROP
iptables -A INPDROP -j LOG --log-prefix "[INPUT_DROP    ] "
iptables -A INPDROP -j DROP

iptables -N FWDDROP
iptables -A FWDDROP -j LOG --log-prefix "[FORWARD_DROP  ] "
iptables -A FWDDROP -j DROP

iptables -N OUTDROP
iptables -A OUTDROP -j LOG --log-prefix "[OUTPUT_DROP   ] "
iptables -A OUTDROP -j DROP

Apparemment cela devrait se trouver dans un /var/log/messages mais je ne retrouve pas les logs concernant mes iptables.

 Je ne sais même pas si ce que je dis a du sens. A l'aide  

Salut,

Si si, ça du sens, en tout cas pour moi

Je suis pas expert (loin de là même ^^) avec iptable donc je me demande:

Pourquoi tu fais ?

iptables -N INPDROP
iptables -A INPDROP -j LOG --log-prefix "[INPUT_DROP    ] "
iptables -A INPDROP -j DROP
 
iptables -N FWDDROP
iptables -A FWDDROP -j LOG --log-prefix "[FORWARD_DROP  ] "
iptables -A FWDDROP -j DROP
 
iptables -N OUTDROP
iptables -A OUTDROP -j LOG --log-prefix "[OUTPUT_DROP   ] "
iptables -A OUTDROP -j DROP

Et pas juste:

iptables -A INPUT -j LOG --log-prefix "[INPUT_DROP    ] "

iptables -A FORWARD -j LOG --log-prefix "[FORWARD_DROP  ] "
 
iptables -A OUTPUT -j LOG --log-prefix "[OUTPUT_DROP   ] "

 Et t'es sur que des packets ont été dropés ?

EDIT: Je viens seulement de capter pourquoi je comprenais pas (faut que j'aille me coucher je crois... :/ ) mais tu définis une nouvelle chaîne utilisateur avec -N comme paramètre, mais aucun paquet ne passe dans cette chaîne, donc tu risquais pas de voir quoique ce soit dans les log . Au final, t'as pas besoin de définir de nouvelles chaînes pour log les packets que tu drop vu que tu drop par défault. Enfin tu peux faire un truc du genre:

iptables -N INPDROP
iptables -A INPUT -j INPDROP
iptables -A INPDROP -j LOG --log-prefix "[INPUT_DROP    ] "
iptables -A INPDROP -j DROP

par exemple. Mais c'est redondant.

-
Edité par Anonyme 24 mai 2017 à 4:29:06

Merci ShaWaTK pour ta réponse!! dernière petite question (je l'espère): Où vont les logs? Pour que je puisse vérifier si je les ai ou pas.

Pour infos j'ai fais ce que tu m'as dit: merci beaucoup!!! et oui du coup c'est plus simple et plus logique.

iptables -A INPUT -j LOG --log-prefix "INPUT_DROP   ]"
iptables -A FORWARD -j LOG --log-prefix "FORWARD_DROP   ]"
iptables -A OUTPUT -j LOG --log-prefix "OUTPUT_DROP   ]"

Encore merci.

 EDIT:

Autant pour moi! J'ai trouvé! J'ai donc était dans /etc/rsyslog.conf et ai rajouté la ligne ci-dessous.

kern.warning /var/log/iptables.log

Bon après il faut faire redémarrer le service rsyslog (systemctl restart rsyslog.service) et il semble qu'il faille redémarre un autre service, mais je ne sais pas lequel. Je ne me suis pas pris la tête, j'ai redémarrer mon Centos 7. Au redémarrage, j'ai bien retrouvé mon iptables.log dans /var/log avec dedans:

May 24 09:02:17 X kernel: [INPUT_DROP   ]IN=loulou OUT= MAC=X:08:00 SRC=10.0.0.4 DST=10.0.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=X PROTO=UDP SPT=127 DPT=127 LEN=58 
May 24 09:02:18 X kernel: [INPUT_DROP   ]IN=loulou OUT= MAC=X:08:00 SRC=10.0.0.4 DST=10.0.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=X PROTO=UDP SPT=127 DPT=127 LEN=58 
May 24 09:02:18 X kernel: [INPUT_DROP   ]IN=loulou OUT= MAC=X:08:00 SRC=10.0.0.3 DST=10.0.0.255 LEN=291 TOS=0x00 PREC=0x00 TTL=128 ID=X PROTO=UDP SPT=54915 DPT=54815 LEN=241 
May 24 09:02:18 X kernel: [INPUT_DROP   ]IN=loulou OUT= MAC=X:08:00 SRC=10.0.0.4 DST=10.0.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=X PROTO=UDP SPT=127 DPT=127 LEN=58 
May 24 09:02:19 X kernel: [INPUT_DROP   ]IN=loulou OUT= MAC=X:08:00 SRC=10.0.0.3 DST=10.0.0.255 LEN=291 TOS=0x00 PREC=0x00 TTL=128 ID=X PROTO=UDP SPT=54915 DPT=54815 LEN=241 

Voilà donc merci beaucoup ShaWaTK pour ta précieuse aide 

-
Edité par Kook's 24 mai 2017 à 21:10:19