bom dia!!!
gostaria de usar o log no firewall com o arquivo syslogd.conf, para gerenciar em tempo real as conexoes e I/O..
Obrigado pela ajuda!!!!
bom dia!!!
gostaria de usar o log no firewall com o arquivo syslogd.conf, para gerenciar em tempo real as conexoes e I/O..
Obrigado pela ajuda!!!!
vou te passa uma regra q eu uso pra monitorar as portas mais usadas, como ssh.
ele joga as informacoes pro arquivo syslog em /var/log
uso na chain input
iptables -t filter -A INPUT -p tcp -m tcp --dport 22 --syn -j LOG --log-prefix "FIREWALL:SSH"
qualquer pessoa q tente acessa o seu ssh sera logado...
espero ter ajudado, t+
Muito Obrigado pela ajuda!!!
Mas gostaria também de saber como deixo o mesmo gerando sempre em todas as portas, e em todas as interfaces!!!!
Eu coloco no final do meu script o seguinte:
$IPTABLES -A INPUT -i $INTRA -p tcp -j LOG --log-prefix "Servico tcp: "
$IPTABLES -A INPUT -i $INTRA -p udp -j LOG --log-prefix "Servico udp: "
onde $INTRA é a interface (eth0,...) que você quer monitorar.
Então tudo o que não estiver liberado, vai logar. Com poucas modificações você conseguirar o resultado esperado.
Rovani
voltando ao original da pergunta, alguém sabe como separar os logs do firewall gerado pelo prefix do /var/log/messages e jogar num /var/log/firewall por exemplo ?
Valeu por todas as respostas!!!!!
Obrigado
Amigo, aproveitando a deixa. Como faço essa regra para ipchains?
Grato
Postado originalmente por Brenno
iptables -A INPUT -j LOG --log-prefix "Firewall"Postado originalmente por bandlinux
isso ira gerar o log de tentativas de acesso em todas portas, protocolos e interfaces.
utilize a opcao --log-level na regra, ai vc altera o syslog pra gravar num arquivo separado, nao lembro de cabeca oq eh cada level, mas soh dar um man syslog.conf q ele mostraPostado originalmente por whinston
por exemplo suponha q o level 1 seja warning
ai onde tem os warning no syslog.conf vc joga num arquivo separado
mais um detalhe MUITO IMPORTANTE, UTILIZAR LOG NO FIREWALL SEM opcao --limit ou PIOR AINDA, logando tudo q entra ou sai é pedir pra tomar um DoS na cabeça...........
imagine algum fdp fazendo 500 requisicoes por segundo no teu server? logo logo o log do fw vai lotar teu disco, suma maquina vai parar, sem contar na memoria q vai estourar de tanto ficar analisando tudo