Linux
讓 iptables 登錄到我創建的這個文件還需要什麼?
我想創建一個
iptables.log
記錄所有 DROP 和入侵嘗試的文件。這是我做的,一步一步:**1)**在我的 iptables 規則文件中,我輸入了以下內容:
-A INPUT -j LOG --log-level 4 --log-ip-options --log-prefix "iptables: " -P INPUT DROP -P OUTPUT DROP -P FORWARD DROP # and then the other rules to open up SSH
然後我
iptables-restore
用來應用更改。**2)**我在裡面創建了一個文件,
iptables.conf
裡面/etc/rsyslog.d/
有這個規則::msg, startswith, "iptables: " -/var/log/iptables.log & ~
**3)**內
/etc/rsyslog.d/50-default.conf
,我把這個:#iptables kern.warning /var/log/iptables.log
**4)**我重新啟動
rsyslog
守護程序。但這似乎不足以實現我的目標。還需要做什麼?
另外,我應該制定一個規則
-A OUTPUT -j LOG
還是沒用?
這不是一個直接的項目,而是更多的“清理”方面,這只是一個好習慣。
我建議配置日誌輪換,這樣您就不會用新的日誌文件填滿日誌分區。大多數服務都會在 /etc/logrotate.d/ 中放置一個配置文件。並且數據包記錄可以是相當健談的。
由於這是一個新的日誌文件,您必須將其添加到現有的文件中,例如 /etc/logrotate.d/rsyslog.conf。
它對我們(Debian 6)有用,只是在 /etc/rsyslog.d/ 中包含了附加規則,並且沒有觸及 rsyslog.conf 文件。
我們確認目錄規則在核心 rsyslog.conf 之前“執行”,並且“& ~”使匹配條目停止搜尋以下規則。
這是 /etc/rsyslog.d/ 中的一個文件
:msg, startswith, "Firewall: " -/var/log/firewall.log & ~
所做的工作還有一個 kern.warning 我知道會重複規則的條目。
在我們的例子中,iptables 規則是由 CSF 防火牆創建的,所以問題可能就在那裡。防火牆規則看起來像
19 2140 113K LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 30/min burst 5 LOG flags 0 level 4 prefix `Firewall: *TCP_IN Blocked* '