Loggning i PF

[Anders Troback]

Den Wed, 23 Mar 2011 11:38:42 +0100
skrev Anders Troback <freebsd at troback.com>:

> Den Wed, 23 Mar 2011 10:55:15 +0100
> skrev Sven-Åke Svensson <sa at mbg.se>:
> 
> > Hej
> > 
> > 
> > I "option" delen av min pf.conf ser det ut så här.
> > 
> > ***********************************************************************
> > 
> > # Options
> > set timeout { interval 10, frag 30 }
> > set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
> > set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
> > set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
> > set timeout { icmp.first 20, icmp.error 10 }
> > set timeout { other.first 60, other.single 30, other.multiple 60 }
> > set timeout { adaptive.start 0, adaptive.end 0 }
> > set limit { states 10000, frags 5000 }
> > set loginterface none
> > set optimization normal
> > set block-policy return
> > set require-order yes
> > set fingerprints "/etc/pf.os"
> > **********************************************************************
> > 
> > Sedan använder jag detta i de regler jag behöver titta på, "pass in
> > log....".
> > 
> > 
> > Sven-Åke
> > 
> > 
> > 
> > 2011-03-23 10:35, Christoffer Persson skrev:
> > > Hur ser din nuvarande config ut?
> > > 
> > > /Christoffer Persson
> > > ________________________________________
> > > From: bus-bounces at stacken.kth.se [bus-bounces at stacken.kth.se] on
> > > behalf of Sven-Åke Svensson [sa at mbg.se] Sent: Wednesday, March 23,
> > > 2011 10:11 AM To: bus at stacken.kth.se
> > > Subject: Loggning i PF
> > > 
> > > Hej
> > > 
> > > 
> > > Jag undrar om det är någon som vet hur man ökar mängden data som
> > > samlas in i pflog? Den enda info jag hittar är att det default
> > > samlas in 96 bytes. Men jag skulle behöva betydligt mer för att
> > > sedan kunna undersöka i Wireshark.
> > > 
> > > 
> > > Hälsningar
> > > 
> > > Sven-Åke
> 
> Dumpar du loggen med tcpdump?

Starta pflogd med flaggan "-s 0" tror jag fixar problemet!