Quando vejo os logs criados para o meu ponto de verificação fw1, ele registra conexões ao receber a sin, ou aguarda até que o handshake de três vias seja concluído? Se ele registra após o syn, existe alguma maneira de dizer onde o handshake de três vias não foi concluído?
O log inicial é enfileirado / inicialmente definido em SYN_RECV para um log de tráfego padrão sem contabilidade.
Com a contabilidade ativada, os contadores do registro contábil são retidos e encaminhados para o módulo de registro para a conclusão do registro de log. Um registro de registro contábil completo incluiria o registro de acesso inicial + alguns detalhes contábeis da sessão gravada ou da sessão virtual.
Eu acho que ele registra quando recebe o SYN, você poderia facilmente verificar isso apenas enviando uma sin com uma ferramenta como hping .
Se você quiser ver o handshake de três vias, recomendo usar fw monitor , há good pdf sobre isso no site do ponto de verificação.
O passo rápido é executar algo como fw monitor -e 'accept src=1.2.3.4 or dst= 1.2.3.4;'
Edit: Claro, isso deve ser feito ao vivo, então não é tão bom quanto o registro ...
Tags logging firewall tcp checkpoint