Linux

讓 iptables 登錄到我創建的這個文件還需要什麼?

  • February 22, 2013

我想創建一個iptables.log記錄所有 DROP 和入侵嘗試的文件。這是我做的,一步一步:

**1)**在我的 iptables 規則文件中,我輸入了以下內容:

-A INPUT -j LOG --log-level 4 --log-ip-options --log-prefix "iptables: "

-P INPUT DROP
-P OUTPUT DROP
-P FORWARD DROP

# and then the other rules to open up SSH

然後我iptables-restore用來應用更改。

**2)**我在裡面創建了一個文件,iptables.conf裡面/etc/rsyslog.d/有這個規則:

:msg, startswith, "iptables: " -/var/log/iptables.log
& ~

**3)**內/etc/rsyslog.d/50-default.conf,我把這個:

#iptables
kern.warning /var/log/iptables.log

**4)**我重新啟動rsyslog守護程序。

但這似乎不足以實現我的目標。還需要做什麼?

另外,我應該制定一個規則-A OUTPUT -j LOG還是沒用?

這不是一個直接的項目,而是更多的“清理”方面,這只是一個好習慣。

我建議配置日誌輪換,這樣您就不會用新的日誌文件填滿日誌分區。大多數服務都會在 /etc/logrotate.d/ 中放置一個配置文件。並且數據包記錄可以是相當健談的。

由於這是一個新的日誌文件,您必須將其添加到現有的文件中,例如 /etc/logrotate.d/rsyslog.conf。

它對我們(Debian 6)有用,只是在 /etc/rsyslog.d/ 中包含了附加規則,並且沒有觸及 rsyslog.conf 文件。

我們確認目錄規則在核心 rsyslog.conf 之前“執行”,並且“& ~”使匹配條目停止搜尋以下規則。

這是 /etc/rsyslog.d/ 中的一個文件

:msg, startswith, "Firewall: " -/var/log/firewall.log
& ~

所做的工作還有一個 kern.warning 我知道會重複規則的條目。

在我們的例子中,iptables 規則是由 CSF 防火牆創建的,所以問題可能就在那裡。防火牆規則看起來像

19    2140  113K LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 30/min burst 5 LOG flags 0 level 4 prefix `Firewall: *TCP_IN Blocked* ' 

引用自:https://serverfault.com/questions/431240