proble de remonter des log nftable debian testing

CTparental · 26 avr. 2020, 08:05

Bonjour,

voici mon problème, sous debian stable, quant je fessai un

sudo journalctl -k -f

je voyer les log de mes règles nftables en direct, par exemple je simuler un flux interdit et loguer avec un

Code : Tout sélectionner

telnet 192.168.0.1 9999

, mais sous testing, rien n'apparer, sauf si je redémar le service systemd-journald, la j'ai mes remonter jusqu'au moment du restart systemd-journald, mais pas les nouvelles en cour, j’espère être asser clair. ce problème je l'ai aussi constater sur du manjaro19.2, c'est pourquoi je pence a soit un problème de module/noyaux 5.5.x soit un changement dans la configuration a faire pour que cela fonctionne comme sur la debian stable mais j'ai rien trouvé

Code : Tout sélectionner

lsmod | grep nft
nft_reject_ipv6        16384  4
nf_reject_ipv6         20480  1 nft_reject_ipv6
nft_reject_ipv4        16384  4
nf_reject_ipv4         16384  1 nft_reject_ipv4
nft_reject             16384  2 nft_reject_ipv6,nft_reject_ipv4
nft_chain_nat          16384  8
nft_log                16384  0
nft_nat                16384  25
nf_nat                 53248  2 nft_nat,nft_chain_nat
nft_ct                 20480  0
nf_conntrack          172032  4 nf_nat,nft_ct,nft_nat,nf_conntrack_ftp
nf_tables             176128  267 nft_reject_ipv6,nft_reject_ipv4,nft_ct,nft_log,nft_nat,nft_chain_nat,nf_tables_set,nft_reject

Code : Tout sélectionner

sudo nft list ruleset
table ip filter {
	set ipv4filter {
		type ipv4_addr
		flags interval
	}

	set ipv4filterforall {
		type ipv4_addr
		flags interval
	}

	chain input {
		type filter hook input priority filter; policy drop;
		iif "lo" accept
		udp sport 5353 accept
		udp dport 5355 accept
		tcp dport 5355 accept
		ct state established,related accept
		udp sport 67 udp dport 68 accept
		icmp type { echo-reply, destination-unreachable, source-quench, redirect, echo-request, router-advertisement, router-solicitation, time-exceeded, parameter-problem, timestamp-request, timestamp-reply, info-request, info-reply, address-mask-request, address-mask-reply } accept
		ip daddr 192.168.0.0/24 accept
		counter packets 9 bytes 260 log prefix "ip4tables"
	}

	chain forward {
		type filter hook forward priority filter; policy drop;
		counter packets 0 bytes 0 log prefix "ip4tables"
	}

	chain output {
		type filter hook output priority filter; policy drop;
		oif "lo" accept
		ip daddr @ipv4filter meta skuid 119 reject
		ip daddr @ipv4filter meta skuid 1000 reject
		ip daddr @ipv4filter meta skuid 1001 reject
		ip daddr @ipv4filter meta skuid 65534 reject
		udp dport 5353 accept
		udp dport 5355 accept
		tcp dport 5355 accept
		udp sport 68 udp dport 67 accept
		udp dport 53 accept
		tcp dport 53 accept
		ip daddr 127.0.0.10 udp dport 54 accept
		ip daddr 127.0.0.10 tcp dport 54 accept
		tcp dport 80 accept
		ip daddr 127.0.0.10 tcp dport 8080 accept
		tcp dport 443 accept
		icmp type { echo-reply, destination-unreachable, source-quench, redirect, echo-request, router-advertisement, router-solicitation, time-exceeded, parameter-problem, timestamp-request, timestamp-reply, info-request, info-reply, address-mask-request, address-mask-reply } accept
		udp dport 123 accept
		tcp dport 21 counter packets 0 bytes 0 accept
		ct state established,related counter packets 10 bytes 817 accept
		ip daddr 192.168.0.0/24 accept
		tcp dport { 143, 465, 587, 993, 995 } accept
		counter packets 7 bytes 280 log prefix "ip4tables"
		reject
		ip daddr 8.8.8.8 meta skuid 122 udp dport 53 reject
	}
}
table ip nat {
	chain prerouting {
		type nat hook prerouting priority dstnat; policy accept;
	}

	chain input {
		type nat hook input priority 100; policy accept;
	}

	chain output {
		type nat hook output priority -100; policy accept;
		udp dport 53 meta skuid 119 dnat to 127.0.0.10:54
		tcp dport 53 meta skuid 119 dnat to 127.0.0.10:54
		udp dport 53 meta skuid 1000 dnat to 127.0.0.10:54
		tcp dport 53 meta skuid 1000 dnat to 127.0.0.10:54
		ip saddr != 127.0.0.0/8 tcp dport 80 meta skuid 1000 dnat to 127.0.0.10:8080
		ip saddr != 127.0.0.0/8 tcp dport 8888 meta skuid 1000 dnat to 127.0.0.10:8080
		udp dport 53 meta skuid 1001 dnat to 127.0.0.10:54
		tcp dport 53 meta skuid 1001 dnat to 127.0.0.10:54
		ip saddr != 127.0.0.0/8 tcp dport 80 meta skuid 1001 dnat to 127.0.0.10:8080
		ip saddr != 127.0.0.0/8 tcp dport 8888 meta skuid 1001 dnat to 127.0.0.10:8080
		udp dport 53 meta skuid 65534 dnat to 127.0.0.10:54
		tcp dport 53 meta skuid 65534 dnat to 127.0.0.10:54
		ip saddr != 127.0.0.0/8 tcp dport 80 meta skuid 65534 dnat to 127.0.0.10:8080
		ip saddr != 127.0.0.0/8 tcp dport 8888 meta skuid 65534 dnat to 127.0.0.10:8080
	}

	chain postrouting {
		type nat hook postrouting priority srcnat; policy accept;
	}
}
table ip6 filter {
	set ipv6filter {
		type ipv6_addr
		flags interval
	}

	set ipv6filterforall {
		type ipv6_addr
		flags interval
	}

	chain input {
		type filter hook input priority filter; policy drop;
		iif "lo" accept
		udp sport 5353 accept
		udp dport 5353 accept
		tcp dport 5353 accept
		ct state established,related accept
		udp sport 67 udp dport 68 accept
		icmpv6 type { destination-unreachable, packet-too-big, time-exceeded, parameter-problem, echo-request, echo-reply, mld-listener-query, mld-listener-report, mld-listener-done, nd-router-solicit, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert, nd-redirect, router-renumbering } accept
		meta l4proto ipv6-icmp ip6 daddr fe80::/10 counter packets 0 bytes 0 accept
		meta l4proto ipv6-icmp ip6 saddr fe80::/10 counter packets 0 bytes 0 accept
		counter packets 0 bytes 0 log prefix "ip6tables"
	}

	chain forward {
		type filter hook forward priority filter; policy drop;
		counter packets 0 bytes 0 log prefix "ip6tables"
	}

	chain output {
		type filter hook output priority filter; policy drop;
		oif "lo" accept
		ip6 daddr @ipv6filter meta skuid 119 reject
		ip6 daddr @ipv6filter meta skuid 1000 reject
		ip6 daddr @ipv6filter meta skuid 1001 reject
		ip6 daddr @ipv6filter meta skuid 65534 reject
		udp dport 5353 accept
		udp dport 5353 accept
		tcp dport 5353 accept
		ip6 daddr ff02::2 accept
		ip6 daddr ff02::16 accept
		udp sport 68 udp dport 67 accept
		udp dport 53 accept
		tcp dport 53 accept
		ip6 daddr fd00::127:10 udp dport 54 accept
		ip6 daddr fd00::127:10 tcp dport 54 accept
		tcp dport 80 accept
		ip6 daddr fd00::127:10 tcp dport 8888 accept
		tcp dport 443 accept
		icmpv6 type { destination-unreachable, packet-too-big, time-exceeded, parameter-problem, echo-request, echo-reply, mld-listener-query, mld-listener-report, mld-listener-done, nd-router-solicit, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert, nd-redirect, router-renumbering } accept
		udp dport 123 accept
		tcp dport 21 counter packets 0 bytes 0 accept
		ct state established,related counter packets 0 bytes 0 accept
		ip6 daddr fe80::/10 tcp dport 8022 accept
		tcp dport { 143, 465, 587, 993, 995 } accept
		counter packets 0 bytes 0 log prefix "ip6tables"
		reject
	}
}
table ip6 nat {
	chain prerouting {
		type nat hook prerouting priority dstnat; policy accept;
	}

	chain input {
		type nat hook input priority 100; policy accept;
	}

	chain output {
		type nat hook output priority -100; policy accept;
		udp dport 53 meta skuid 119 dnat to [fd00::127:10]:54
		tcp dport 53 meta skuid 119 dnat to [fd00::127:10]:54
		udp dport 53 meta skuid 1000 dnat to [fd00::127:10]:54
		tcp dport 53 meta skuid 1000 dnat to [fd00::127:10]:54
		ip6 daddr 2000::/3 tcp dport 80 meta skuid 1000 dnat to [fd00::127:10]:8888
		udp dport 53 meta skuid 1001 dnat to [fd00::127:10]:54
		tcp dport 53 meta skuid 1001 dnat to [fd00::127:10]:54
		ip6 daddr 2000::/3 tcp dport 80 meta skuid 1001 dnat to [fd00::127:10]:8888
		udp dport 53 meta skuid 65534 dnat to [fd00::127:10]:54
		tcp dport 53 meta skuid 65534 dnat to [fd00::127:10]:54
		ip6 daddr 2000::/3 tcp dport 80 meta skuid 65534 dnat to [fd00::127:10]:8888
	}

	chain postrouting {
		type nat hook postrouting priority srcnat; policy accept;
	}
}

26 avr. 2020, 20:36

Est-ce que ça affecte seulement les logs de nftables ou tous les message du noyau ?
Est-ce que les logs sont affichés par dmesg ? Enregistrés en temps réel dans /var/log/kern.log et syslog ?
Tu peux générer des messages du noyau en écrivant dans /dev/kmesg.

Edit : /dev/kmsg, pas kmesg

CTparental · 27 avr. 2020, 18:29

effectivement après quelque test le problème et le même pour tous les message du kernel, j'ai fait le test avec un débranchement retranchement de sourie usb, et les log ne remonte qu'après un reboot de systemd-journald, je pencherez donc pour un pb sur tous les message du noyau.

un dmesg lui fonctionne bien, tous remonte instantanément.
dans /var/log/kern.log j'ai l'impression que seul les message kernel du du démarrage du pc sont présent, dans syslog j'ai des log lier au services qui remonte mais pas sur le kernel.

Tu peux générer des messages du noyau en écrivant dans /dev/kmesg. j'ai pas réussi a faire sa a tu un exemple de commande car un echo dans le fichier n'a rien donné via dmesg