Não, não há log de alterações para o iptables.
Como somente o root pode executar iptables
, um administrador que deseja ignorar qualquer registro que você tenha configurado também tem o poder de desativar esse registro, portanto, você só pode registrar alterações feitas por administradores cooperantes.
Se você usar iptables-save
, use o controle de versão no arquivo de regras. Treine seus colegas administradores para confirmar alterações com uma mensagem de mudança significativa.
Se você deseja que o registro ocorra automaticamente, substitua o executável iptables
por um script de wrapper que realiza o registro em log. Aqui está um script rápido e sujo que não é robusto com relação aos argumentos excêntricos (por exemplo, contendo novas linhas). Se o arquivo de log não puder ser gravado, esse script exibirá uma mensagem de erro, mas continuará com a chamada iptables
.
#!/bin/sh
( exec >/var/log/iptables.log;
echo -n "$(date '+%Y:%m:%d %H:%M:%S')" "$(id -run)" iptables
for x; do echo -n "'$x'"; done )
exec /sbin/iptables.real "$@"