Добрый день!
Вопрос такого плана:
есть аппаратный firewall который может отправлять свои локи на лог-сервер и есть лог-сервер с поднятым syslog, который должен принимать и выкладывать у себя логи fw.
В syslog.conf прописываю:router.ru
*.* /var/log/router.log
В скрипте запуска /etc/init.d/syslog прописываю:
в место SYSLOGD_OPTIONS="-m 0"
SYSLOGD_OPTIONS="-r"
Делаю /etc/init.d/syslod restart
Смотрю логи:
less /var/log/router.log
Aug 7 10:07:57 routerold syslogd 1.4.1: restart.
Авг 7 10:07:57 routerold syslog: запуск syslogd succeeded
Aug 7 10:07:57 routerold kernel: klogd 1.4.1, log source = /proc/kmsg started.
Aug 7 10:07:57 routerold kernel: Inspecting /boot/System.map-2.4.9-31smp
Авг 7 10:07:57 routerold syslog: запуск klogd succeeded
Aug 7 10:07:58 routerold kernel: Loaded 15860 symbols from /boot/System.map-2.4.9-31smp.
Aug 7 10:07:58 routerold kernel: Symbols match kernel version 2.4.9.
Aug 7 10:07:58 routerold kernel: Loaded 296 symbols from 15 modules.
Авг 6 17:44:44 routerold syslog: останов syslogd succeeded
Авг 7 10:07:57 routerold syslog: останов syslogd succeeded
Aug 7 10:10:57 routerold kernel: Kernel logging (proc) stopped.
Aug 7 10:10:57 routerold kernel: Kernel log daemon terminating.
Aug 7 10:10:58 routerold exiting on signal 15
Но логи с файерволла не ложаться.
Слушаю трафик на интерфейсе лог сервера:
#tcpdump -i eth1 not port 22
10:26:02.621752 router.ru.61797 > 10.4.9.253.syslog: udp 105
10:26:02.621768 10.4.9.253 > router.ru: icmp: 10.4.9.253 udp port syslog unreachable [tos 0xc0]
Слушаю трафик на интерфейсе аппаратного firewall'а
10.4.9.254.61776 > 10.4.9.253.514: udp 102
10.4.9.253 10.4.9.254: icmp: 10.4.9.253 udp port 514 unreachable [tos 0xc0]
соответственно 10.4.9.254 - аппаратный firewall
10.4.9.253 - log сервер.
Подскажите, в чем засада? И как сделать порт 514 на лог сервере открытым и доступным?
Система на лог-сервере Linux Red Hat 7.2 ядро 2.4.9
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
(ok) on 07-Авг-07, 12:35 
