Rsyslog Remote Syslogging Firewall

german

#1

Hallo Leute,

irgendwie bringt mich die UCS Geschichte um den Verstand. Wenn man alter Linux Hause ist, fühlt man sich leider gar nicht zurecht :frowning:

Ich möchte einfach nur den syslog dazu bringen, als zentraler Logserver zu dienen.

Dazu habe ich sowohl in /etc/univention/templates/files/etc/rsyslog.conf als auch in /etc/rsyslog.conf das folgende eingetragen:

# provides UDP syslog reception $ModLoad imudp $UDPServerRun 514
Danach den Neustart: service rsyslog restart [ ok ] Stopping enhanced syslogd: rsyslogd. [ ok ] Starting enhanced syslogd: rsyslogd.
Es scheint alles ok zu sein:

root@ucs:/var/log# netstat -anp| grep syslog udp 0 0 0.0.0.0:514 0.0.0.0:* 24182/rsyslogd udp6 0 0 :::514 :::* 24182/rsyslogd unix 2 [ ] DGRAM 18466122 24182/rsyslogd /var/spool/postfix/dev/log unix 2 [ ] DGRAM 18466120 24182/rsyslogd /dev/log

Also Firewall Regeln versucht zu setzen:

ucr set security/packetfilter/syslog/udp/514/all=ACCEPT ucr set security/packetfilter/syslog/udp/514/all/en=syslog
Dennoch sagt nmap, dass der Port “closed” ist:[code]
nmap -sU ucs -p 514

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2016-03-17 22:26 CET
Interesting ports on 192.168.0.10:
PORT STATE SERVICE
514/udp closed syslog
MAC Address: 00:50:56:B8:18:9F (VMWare)

Nmap finished: 1 IP address (1 host up) scanned in 0.185 seconds
[/code]
Und auch ein logger-Befehl auf dem Remote-System erzeugt keinen Log-Eintrag:

logger "remote LOG"

Was mache ich falsch?

/KNEBB


#2

Erledigt. Ich weiß zwar nicht genau, was ich falsch gemacht habe, aber so ging es dann lt. DevRef

root@ucs:/etc/security/packetfilter.d# ucr set security/packetfilter/udp/514/all=ACCEPT
Create security/packetfilter/udp/514/all
File: /etc/security/packetfilter.d/10_univention-firewall_start.sh
File: /etc/security/packetfilter.d/80_univention-firewall_policy.sh
root@ucs:/etc/security/packetfilter.d# ucr set security/packetfilter/udp/514/all/en=Accept
Setting security/packetfilter/udp/514/all/en
File: /etc/security/packetfilter.d/10_univention-firewall_start.sh
File: /etc/security/packetfilter.d/80_univention-firewall_policy.sh[/code]Und dann noch der Service Neustart:[code]
root@ucs:/etc/security/packetfilter.d# ucr get security/packetfilter/udp/514/all/en=Accept

Nu geht alles.

SOLVED!