Traffico anomalo

[PaoDJ]

Ciao a tutti,

guardate l'immagine in allegato.
E' il traffico di rete rillevato da mrtg sul mio server.

In verde c'è il traffico in entrata, in blu quello in uscita.

C'è un mare di traffico in entrata e pochissimo traffico in uscita.

Essendo un server, dovrebbe essere il contrario.
Ciò mi fa pensare che ci siano un mare di pacchetti rifiutati dal firewall (iptables) che è montato sul server.

Voi che ne dite? sapete se esiste, e dove si trova il log di iptables ke indica i pacchetti rifiutati?

Grazie

[l.golinelli]

Fai fare i log dei pacchetti scartati a iptables?

[PaoDJ]

Originariamente inviato da l.golinelli
Fai fare i log dei pacchetti scartati a iptables?

Sai dirmi come posso farlo?

Thanks!

[l.golinelli]

Con -j LOG logga in /var/log/messages

Per esempio:

iptables -A INPUT --m state --state INVALID -j DROP
iptables -A INPUT --m state --state INVALID -j LOG

Così rifiuti i pacchetti con stato invalido e fai il log...

[Sergio Pedone]

Originariamente inviato da l.golinelli
Con -j LOG logga in /var/log/messages

Per esempio:

iptables -A INPUT --m state --state INVALID -j DROP
iptables -A INPUT --m state --state INVALID -j LOG

Così rifiuti i pacchetti con stato invalido e fai il log...

Io invertirei la sequenza, quindi prima loggo poi droppo...

[PaoDJ]

Originariamente inviato da l.golinelli
Con -j LOG logga in /var/log/messages

Per esempio:

iptables -A INPUT --m state --state INVALID -j DROP
iptables -A INPUT --m state --state INVALID -j LOG

Così rifiuti i pacchetti con stato invalido e fai il log...

codice:

[root@server log]# iptables -A INPUT --m state --state INVALID -j LOG
iptables v1.2.9: Unknown arg `--m'
Try `iptables -h' or 'iptables --help' for more information.

[PaoDJ]

Nel /etc/sysconfig/iptables ho (le ultime righe della parte interessata:

codice:

-A RH-Firewall-1-INPUT -p tcp -m tcp -m state --dport 6667 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp -m state --dport 7401 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state INVALID -j LOG
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

Ho riavviato il firewall ma nel /var/log/messages non c'è ancora niente, è vuoto, cosa strana dato il traffico in entrata ke ho...

[l.golinelli]

Non loggare solo gli INVALID, logga tutti i REJECT che fai...

[Boromir]

Golinelli ha ragione ,ma ti consiglio a questo punto invece di loggarti il traffico di iptables che riempe a dismisura i log del kernel , usa ntop così hai sempre una situazione del traffico che ti passa sotto !!

[PaoDJ]

mi sai dare qualche info su ntop?

dove posso trovare una guida alla configurazione?

Grazie