He estado un par de días con un problema curioso:
Un rsyslog no grababa bien los logs que se recibían de un equipo, pero sí de otro equipo. El contenido de los logs era similar (eran logs de fortinet)
Investigando vi que el netcat tampoco veía los logs. El strace no mostraba ni siquiera el correspondiente recv para los logs que no se lograban registrar.
Tras muchas vueltas, tras aprender tcprewrite, tcpreplay, bittwistte, y finalmente el gran scapy, he caido que el servidor de syslog quizás no tuviera ruta de vuelta hacia la ip que enviaba la información que no se logueaba.
Aunque el syslog en este caso no necesitaba responder, al parecer necesita ruta de vuelta para poder funcionar. Si no tiene ruta de vuelta y el parámetro rp_filter está habilitado, el kernel descarta
¡ Gracias a David por indicarme el tema del rp_filter !
Un rsyslog no grababa bien los logs que se recibían de un equipo, pero sí de otro equipo. El contenido de los logs era similar (eran logs de fortinet)
Investigando vi que el netcat tampoco veía los logs. El strace no mostraba ni siquiera el correspondiente recv para los logs que no se lograban registrar.
Tras muchas vueltas, tras aprender tcprewrite, tcpreplay, bittwistte, y finalmente el gran scapy, he caido que el servidor de syslog quizás no tuviera ruta de vuelta hacia la ip que enviaba la información que no se logueaba.
Aunque el syslog en este caso no necesitaba responder, al parecer necesita ruta de vuelta para poder funcionar. Si no tiene ruta de vuelta y el parámetro rp_filter está habilitado, el kernel descarta
¡ Gracias a David por indicarme el tema del rp_filter !
No comments:
Post a Comment