* * *
Benvenuto! Effettua l'accesso oppure registrati.
04 Dicembre 2020, 15:06:05

Inserisci il nome utente, la password e la durata della sessione.

Links

ads

Benvenuto


Benvenuto su la Community CentOS-Italia.Org

La Community Italiana di Linux CentOS e' lieta di averti tra noi , CentOS-Italia.Org e' un risorsa di guide e forum dal principiante al sistemista senior.
Clicca qua per registrati ora

La registrazione e' gratuita e ti consente di avere pieno accesso alle risorse di CentOS-Italia.org , come uso della ricerca avanzata , le funzioni interattive del portale e visualizzare i links nei post.
Gli utenti registrati non visualizzano gli ads, quindi registrati subito se non l'hai gia fatto.

Lo staff di CentOS-Italia.Org cerca di rendere la community un posto piacevole e il piu' produttivo possibile, invitiamo quindi i nuovi utenti a leggere le regole base.
Per info o problemi di registrazione scrivere a centos (at) centos-italia.org .

Autore Topic: iptable e log  (Letto 1839 volte)

Offline pieroalampi

  • Newbie
  • *
  • Post: 23
    • Mostra profilo
iptable e log
« il: 23 Giugno 2017, 10:46:58 »
salve,
vorrei capire come fare per vedere i log di iptable intendo tutti i tentativi, ad esempio ho installato vsftp esplicito su tls e non riesco a collegarmi quando il firewall è attivo ma non riesco neanche a vedere il log e capire su quali porte viene a bussare o perché cadono i pacchetti.
il tutto è su un cloud aruba e ho impostato una regola:
Pacchetti in ingresso (INPUT)
se il protocollo è TCP e la porta di destinazione è 3000:3999 e lo stato della connessione è NEW (le porte sono un esempio poi sono diverse)
ma niente a firewall attivo non funziona
« Ultima modifica: 23 Giugno 2017, 10:49:55 di pieroalampi »

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1379
    • Mostra profilo
    • Traversate dei laghi
Re:iptable e log
« Risposta #1 il: 23 Giugno 2017, 14:17:58 »
scusa ma non si capisce bene, puoi essere più chiaro?
a.e. copia il file di configurazione (oscurando/modificando indirizzi e porte)

Il log c'è solo se è configurato.

Offline pieroalampi

  • Newbie
  • *
  • Post: 23
    • Mostra profilo
Re:iptable e log
« Risposta #2 il: 23 Giugno 2017, 22:42:41 »
ok scusa ora il file non lo posso copiare perché il server è spento e non sono in ufficio, ho un problema che è il seguente appena configuro il vsftpd per connessioni con ftp esplicito su tsl (filezilla) e provo a collegarmi il server mi fa vedere il certificato da me creato mi fa accettare ma poi si blocca dicendo che non riesce a leggere le cartelle.
cosa ho provato? ho stoppato il servizio iptable e facendo cosi mi sono collegato, quando lo riattivo non riesco a leggere le cartelle, allora mi chiedevo su che file log di iptable posso vedere le porte dalle quali cerco di entrare e non entro? cosa che mi interessa a prescindere perché vorrei un file log dove vedo tutti i tentativi di intrusione, da quel file in ogni caso potrei vedere che porte aprire e capire perché non entro.

Offline pieroalampi

  • Newbie
  • *
  • Post: 23
    • Mostra profilo
Re:iptable e log
« Risposta #3 il: 24 Giugno 2017, 11:16:52 »
iptable:
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:allimport - [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o eth0 -j LOG  --log-level 7 --log-prefix BANDWIDTH_OUT:
-A FORWARD -i eth0 -j LOG  --log-level 7 --log-prefix BANDWIDTH_IN:
-A OUTPUT -o eth0 -j LOG  --log-level 7 --log-prefix BANDWIDTH_OUT:
-A INPUT -i eth0 -j LOG  --log-level 7 --log-prefix BANDWIDTH_IN:
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state -m tcp --dport 22 --state NEW -j ACCEPT
-A INPUT -p tcp -m state -m tcp --dport 80 --state NEW -j ACCEPT
# SERVER SICURO 443 HTTPS
-A INPUT -p tcp -m tcp -m state --dport 443 --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp -m state --dport xx000:xxxx --state NEW -j ACCEPT
-A INPUT -p tcp -m state -m tcp --dport x0000 --state NEW -j ACCEPT
# -A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A INPUT -p tcp -m state -m tcp --dport 21 --state NEW -j ACCEPT
-A INPUT -p tcp -m state -m tcp --dport 20 --state NEW -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
# allimport
-A INPUT -p tcp -m tcp -m state --dport x0000 --state NEW -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Generated by webmin
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed
# Generated by webmin
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT



vsftp

# Example config file /etc/vsftpd/vsftpd.conf
#
# The default compiled in settings are fairly paranoid. This sample file
# loosens things up a bit, to make the ftp daemon more usable.
# Please see vsftpd.conf.5 for all compiled in defaults.
#
# READ THIS: This example file is NOT an exhaustive list of vsftpd options.
# Please read the vsftpd.conf.5 manual page to get a full idea of vsftpd's
# capabilities.
#
# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=NO
#
# Uncomment this to allow local users to log in.
local_enable=YES
#
# Uncomment this to enable any form of FTP write command.
write_enable=YES
#
# Default umask for local users is 077. You may wish to change this to 022,
# if your users expect that (022 is used by most other ftpd's)
local_umask=022
#
# Uncomment this to allow the anonymous FTP user to upload files. This only
# has an effect if the above global write enable is activated. Also, you will
# obviously need to create a directory writable by the FTP user.
#anon_upload_enable=YES
#
# Uncomment this if you want the anonymous FTP user to be able to create
# new directories.
#anon_mkdir_write_enable=YES
#
# Activate directory messages - messages given to remote users when they
# go into a certain directory.
dirmessage_enable=YES
#
# Activate logging of uploads/downloads.
xferlog_enable=YES
#
# Make sure PORT transfer connections originate from port 20 (ftp-data).
connect_from_port_20=YES
#
# If you want, you can arrange for uploaded anonymous files to be owned by
# a different user. Note! Using "root" for uploaded files is not
# recommended!
#chown_uploads=YES
#chown_username=whoever
#
# You may override where the log file goes if you like. The default is shown
# below.
#xferlog_file=/var/log/vsftpd.log
#
# If you want, you can have your log file in standard ftpd xferlog format.
# Note that the default log file location is /var/log/xferlog in this case.
xferlog_std_format=YES
#
# You may change the default value for timing out an idle session.
#idle_session_timeout=600
#
# You may change the default value for timing out a data connection.
#data_connection_timeout=120
#
# It is recommended that you define on your system a unique user which the
# ftp server can use as a totally isolated and unprivileged user.
#nopriv_user=ftpsecure
#
# Enable this and the server will recognise asynchronous ABOR requests. Not
# recommended for security (the code is non-trivial). Not enabling it,
# however, may confuse older FTP clients.
#async_abor_enable=YES
#
# By default the server will pretend to allow ASCII mode but in fact ignore
# the request. Turn on the below options to have the server actually do ASCII
# mangling on files when in ASCII mode.
# Beware that on some FTP servers, ASCII support allows a denial of service
# attack (DoS) via the command "SIZE /big/file" in ASCII mode. vsftpd
# predicted this attack and has always been safe, reporting the size of the
# raw file.
# ASCII mangling is a horrible feature of the protocol.
#ascii_upload_enable=YES
#ascii_download_enable=YES
#
# You may fully customise the login banner string:
ftpd_banner=Welcome to my FTP service.
#
# You may specify a file of disallowed anonymous e-mail addresses. Apparently
# useful for combatting certain DoS attacks.
#deny_email_enable=YES
# (default follows)
#banned_email_file=/etc/vsftpd/banned_emails
#
# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
chroot_local_user=YES
#chroot_list_enable=YES
#(default follows)
#chroot_list_file=/etc/vsftpd/chroot_list
#
# You may activate the "-R" option to the builtin ls. This is disabled by
# default to avoid remote users being able to cause excessive I/O on large
# sites. However, some broken FTP clients such as "ncftp" and "mirror" assume
# the presence of the "-R" option, so there is a strong case for enabling it.
#ls_recurse_enable=YES
#
# When "listen" directive is enabled, vsftpd runs in standalone mode and
# listens on IPv4 sockets. This directive cannot be used in conjunction
# with the listen_ipv6 directive.
listen=YES
#
# This directive enables listening on IPv6 sockets. To listen on IPv4 and IPv6
# sockets, you must run two copies of vsftpd with two configuration files.
# Make sure, that one of the listen options is commented !!
#listen_ipv6=YES

pam_service_name=vsftpd
userlist_enable=YES
#userlist_deny=NO aggiunta da me
userlist_deny=NO
tcp_wrappers=YES

#aggiunto successivamente per ssl
rsa_cert_file=/xxxxxx.pem
rsa_private_key_file=/xxxxxxx.pem
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES

ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO

require_ssl_reuse=NO
ssl_ciphers=HIGH
#fine aggiunta per ssl

# passive port range
pasv_address=xx.xx.xx.xx
pasv_enable=YES
pasv_max_port=xxxxx
pasv_min_port=xxxxx
« Ultima modifica: 24 Giugno 2017, 11:19:01 di pieroalampi »

Offline pieroalampi

  • Newbie
  • *
  • Post: 23
    • Mostra profilo
Re:iptable e log
« Risposta #4 il: 24 Giugno 2017, 11:17:44 »
la linea in iptable con -A INPUT -p tcp -m tcp -m state --dport xx000:xxxx --state NEW -j ACCEPT è quella che specifica le stesse porte che sono in calce al file di iptable
L'ERRORE quando vado a collegarmi con file zilla ottengo questo:
tato:   Connessione stabilita, in attesa del messaggio di benvenuto...
Stato:   Inizializzazione TLS in corso...
Stato:   Verifica del certificato in corso...
Stato:   Connessione TLS stabilita.
Stato:   Accesso effettuato
Comando:   PWD
Risposta:   257 "/"
Comando:   TYPE I
Risposta:   200 Switching to Binary mode.
Comando:   PASV
Risposta:   227 Entering Passive Mode (X,X,X,X,X,X).
Comando:   LIST
Errore:   Timeout connessione dopo 20 secondi di inattività
Errore:   Non è stato possibile leggere il contenuto della cartella
Stato:   Disconnesso dal server

Stato:   Lettura elenco cartelle...
E QUI SI FERMA
« Ultima modifica: 24 Giugno 2017, 11:27:08 di pieroalampi »

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1379
    • Mostra profilo
    • Traversate dei laghi
Re:iptable e log
« Risposta #5 il: 26 Giugno 2017, 08:49:07 »
Log di iptables non lo vedo configurato, quindi non lo troverai.

L'accesso è riuscito, lo vedi benissimo dal log di vsftp, il problema non è iptables altrimenti non ci sarebbe l'autenticazione; mi sembra più probabile, da quel che leggo del log, che sia un problema di permessi.

 

Notizie

Tutti posso inserire guide nel portale. Per inserire cliccare in basso a destra su Inserisci nuova Guida/How-To!

Collegamenti

Posts Recenti

Utenti
  • Utenti in totale: 6357
  • Ultimo: mrvibes
Statistiche
  • Post in totale: 13124
  • Topic in totale: 2957
  • Online Oggi: 256
  • Massimi online: 9639
  • (14 Gennaio 2020, 10:20:21)
Utenti Online
Utenti: 0
Visitatori: 183
Totale: 183

Permessi

-no content-

ShoutBox!

Ultimo 5 Shout:

fzphoto

19 Febbraio 2018, 09:18:24
Ciao a tutti. Ho installato l'ultima versione di centos 7 per poter lavorare comodamente con DaVinci resolve 14. Solo che non riesco, ne a installare il programma Davinci, ne tanto meno, il driver nvidia per la scheda grafica geoforce 1080 ti. Sul web non trovo niente che mi aiuti. Premetto che sono

aner64

07 Febbraio 2018, 11:21:40
Buongiorno. Ho installato l'ultima versione di CENTOS7 aggiornata alla 7.0.4.1708. Ho bisogno di fare un restore di file da un filesystem reiserfs. CENTOS7 non ha reiserfs tra i FS e bisogna installarlo. Quando di cerca di installare kmod-reiserfs-0.0-2.el7.elrepo.x86_64.rpm escono errori per mancan
 

LonelyWolf

28 Dicembre 2017, 08:37:34
da ieri non vedo più il css è solo un problema mio?

trattore

28 Settembre 2015, 03:30:48
ma qui non c'è mai nessuno
 ;)

ivo

26 Agosto 2015, 16:01:14
Ho configurato il DHCP creato il file /etc/dhcpd.conf con il seguente contenuto
-------------------------------------------------------------------------------
ddns-update-style interim;
ignore client-updates;

authoritative;

subnet 172.16.208.96 netmask 255.255.255.240 {
    option routers      

Mostra ultimi 50