Want to use my Linksys router with ASL

I have the same problem, in that I have a Linksys BEFSR41 router in between the ASL External interface and the ADSL modem.  How should the Linksys router be configured so as not to impact the VPN and PPTP features of the ASL?

My primary use for the Linksys BEFSR41 router at the moment is logging external access attempts and scans of my real world IP address. I run the Linksys LogViewer on an internal LAN WinXP PC, with a SNAT path in through the ASL box for the logging.

As a member of Dshield.org ( http://www.dshield.org ), I submit daily logs to them of all the scan attacks on my IP address.
According to the Dshield.org web site, there is not yet a Dshield log converter task for the ASL firewall. They have one for IPtables, but I don't know how to go about installing it on my ASL box.

So, for the time being, if I wish to continue to send in my incoming access logs to Dshield.org, I am stuck with having the Linksys router in between the ASL box and the ADSL modem.

I realize that the elegant solution here would be to have a Dshield compatible logging task right on the ASL box, but I am not enough of a Linux guru to attempt creating something like that on my own.
  

I do something very similar with my linksys as well which is one of the cool things that I would like to continue to do with mynetwatchman I report all intrusion attempts as you do with dshield. I am having a hard time trying to figure out how to report these logs as well.  But as Dan said above in this thread I agree it is a bit redundant to run the linksys for several reasons speed being one of them. I also used it for VPN which worked very well and easy to setup for what I needed it to do. If you find a solution to that I would love to know.....   

with regard to dshield it seems like this should work.

But first... How do you submit them today? Cut and Paste?
or one of the client programs?

So..  tell me what you think about this approach

I'll assume you have no other LINUX box available other than the ASL router.

On the DSHIELD page they mention the universal windows client that supports iptables format..
http://dshield.org/windows_clients.php#universal

on that page they mention KIWI syslog app.
http://www.kiwisyslog.com/info_syslog.htm
(sadly. the free version won't run as a service.)

download both of these and install them.

Now in ASL go to System/ Syslog and "point" the Kernel Log to your windows machine that will run the KIWI syslog app. (you may have to define the box first under definitions)

now you should have all packet information showing up in the KIWI logs.

Now on cvtwin...
you'll probably have to tell it where the Kiwi Log file is.
you'll also need to "tell" cvtwin that your log format is iptables
That should do it...

Alternatively,
If you are just cutting and pasting then you could just cut and past from the ASL Kernel log each day and submit via the web interface.
choose the" Linux 2.4.x Kernel iptables logs" on the format pull-down and paste away.

Let us know how you make out.  

with regard to dshield it seems like this should work.

But first... How do you submit them today? Cut and Paste?
or one of the client programs?

So..  tell me what you think about this approach

I'll assume you have no other LINUX box available other than the ASL router.

On the DSHIELD page they mention the universal windows client that supports iptables format..
http://dshield.org/windows_clients.php#universal

on that page they mention KIWI syslog app.
http://www.kiwisyslog.com/info_syslog.htm
(sadly. the free version won't run as a service.)

download both of these and install them.

Now in ASL go to System/ Syslog and "point" the Kernel Log to your windows machine that will run the KIWI syslog app. (you may have to define the box first under definitions)

now you should have all packet information showing up in the KIWI logs.

Now on cvtwin...
you'll probably have to tell it where the Kiwi Log file is.
you'll also need to "tell" cvtwin that your log format is iptables
That should do it...

Alternatively,
If you are just cutting and pasting then you could just cut and past from the ASL Kernel log each day and submit via the web interface.
choose the" Linux 2.4.x Kernel iptables logs" on the format pull-down and paste away.

Let us know how you make out.  

actually I have three linux boxes up and going but I just need the firewall incoming ports forwarded and they are sent in realtime. And looks to me as if this may be an answer.... I will dig into it... 

Thanks...
  

in that case you can run the iptables client on your linux box.

reconfigure your /etc/sysconfig/syslog so it starts with -r and allows remote logs...

then configure ASL to send kernel logs to that LINUX box.

then add an entry  in /etc/cron.daily to run the iptables script and submit each morning.(after editing for your dshield id).. and you're all set.

since first reading this I have set this up and now submit logs to dshield. 

I downloaded the Kiwi System Logger and tried out your suggestion. This is a workable approach, I do get the ASL kernel logs showing in the Kiwi System Logger. However, the free Kiwi version doesn't support filtering, and my demo license will time out on me, so this becomes a $100 solution, which is quite an expensive frill for a home network.

Running filters on the Kiwi System Logger is essential here, since I only want CVTWIN (the DShield task) to convert and send in the packets that were dropped by the external interface on the ASL. The raw output from the kernel logger contains way too much information, since it logs all the packet traffic hitting all the interfaces.

But I do owe you thanks, since you did provide a functional solution to the actual technical issue.
   

Here is a free syslog that will filter although I have not tried it.
http://www.mt.lv/download.html#syslog

you could also filter at ASL by saying drop NOT drop and log... The default behaviour.

I could be wrong but you probably don't want to log dropped packets on any interface except those destined for the external_interface.

here are my rules

Code:

---

..  	 	No.  	 	From (Client)  	Service  	To (Server)  	Action  	 	Command
		1 		Private_Network_10.0.0.0 	Any 	Any 	Allow 		edit 	del 	move
		2 		Any 	Any 	10.5.1.9 	Allow 		edit 	del 	move
		3 		Any 	Any 	linuxbox 	Allow 		edit 	del 	move
		4 		Any 	{ mynetbios } 	external_Interface__ 	Drop 		edit 	del 	move
		5 		steves machine 	Any 	Any 	Allow 		edit 	del 	move
		6 		Any 	Teamspeak 	Any 	Allow 		edit 	del 	move
		7 		Private_Network_10.0.0.0 	Any 	Internal_Broadcast__ 	Allow 		edit 	del 	move
		8 		10.6.1.0 	Any 	Any 	Allow 		edit 	del 	move
		9 		Private_Network_10.0.0.0 	Any 	broadcast 	Allow 		edit 	del 	move
	

---

 

Rob, I am not going to use the Linksys anylonger and like the solution as for the syslog to another linux machine I have a couple of questions if you would not mind helping me as you seem to have it working good. Ok if remote syslog into another linux box for example and send the kernel logs over to that machine how do I filter prior to sending to dshield ? lots of stuff in there that just makes no sense to parse and all... could you explain a little more detailed of how your handling this it would be most appreciated.... 

Thanks...     

Also I noticed your packet filter rules : 

Ie:
6  Any  Teamspeak  Any  Allow  edit  del  move


I see that you have it working, I have been trying to get this to work as well UDP 8767 when you defined it as a service could please tell me what you used ? Did you just use UDP 8767 thats what I have done and I cannot seem to get it to work.....

Thanks...

  

first.. let me apologize for my late reply.. 
Work has swamped me the last week.

maybe this will help...
I don't really filter for dshield I just don't log the common things. Like Netbios 135-139.

Note my filter rules above. I DROP on service {mynetbios} I added to the default {netbios} service.   Note it is DROP. Not DROP & LOG.

on the far side I don't have the IPTABLES script from dshield report anything other than drops on the external interface IP. There is a pattern that you put in the config file that will be used to choose the lines from the file to submit.

Teamspeak is very straightforward.
As you noted.  8767 UDP must be allowed in packet filter rules.

But you must also NAT the service to your internal TeamSpeak Server.

Incoming {TeamSpeak} service with DST of external interface must have a NAT rule pointing to a host definition of Internal Teamspeak Server.

Code:

---

NAT Rules 	 
 	Name	 	Match parameters	 	SRC translation	 	DST translation	 	
Actions
	 
 	Teamspeak	 	All -> external_Interface__ / Teamspeak	 	None	 	linuxbox 

---

create a host definition with netmask 255.255.255.255 to desginate your host. (see the help file in the admin screen) Mine is called linuxbox

Thats all there is to it.    

Thanks, I got the Teamspeak up and working I was forgeting to allow the sourceport the correct way by looking at the live views of it I noticed that it was dropping the packet based on the source port.. Dumb mistake....   

Well, I finally got it done this weekend. The Linksys router is now gone from my system. The ASL box is now directly connected to the ADSL modem. The ASL syslog is going to the Kiwi Syslog deamon on the Windows PC, and the Dshield CVTwin task is doing the log file convertions just fine. I uset the cvtwin filtering capabilities to exclude any lines containing  eth0 and eth1, since my external interface is eth2.

I forced a few Dshield log file convertions, and everything is working as it should. The Dshield emails contain only the log lines with the unsoliced hits on my external interface, as it should.

I am happy, and I no longer want  to use a Linksys router with my ASL.