iptables: como decidir o que registrar um servidor web?

1

Existem várias maneiras de registrar o tráfego de um servidor da web. Por exemplo, se eu quiser registrar todo o tráfego de entrada, posso colocar a seguinte linha como a primeira regra anexada à INPUT chain:

-A INPUT -j LOG --log-prefix "IPTABLES: " --log-level info

Se eu quiser registrar todas as novas conexões, posso colocar a regra acima após essa regra:

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Ou, se eu quiser registrar o log de conexões perdidas, posso colocar a regra de registro após aceitar regras e antes da regra de descarte, como:

-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -j LOG --log-prefix "IPTABLES: " --log-level info
-A INPUT -j DROP

Descobri que muitas das configurações de exemplo encontradas no registro on-line são apenas algumas conexões descartadas específicas, como pacotes mal formados ou conexões indesejadas com o SSH. Se as conexões já foram descartadas especificamente devido à necessidade, por que as pessoas ainda querem manter um log para isso? O registro de todas as conexões de entrada (taxa limitada) não seria mais útil do que o registro de tráfego indesejado?

Adicionar comentário : quero enfatizar que estou fazendo essa pergunta com o objetivo de solucionar problemas de rede.

    
por Question Overflow 08.01.2013 / 04:49

0 respostas