Os pacotes de rede podem ser registrados usando o destino iptables LOG
. Para evitar o registro de todos os pacotes que chegam ao sistema, você pode usar limit
e / ou conntrack
módulo (s).
LOG
target grava mensagens no log do kernel. O Syslogd geralmente é configurado para gravar essas mensagens em um arquivo de log. Essas mensagens também podem ser visualizadas com dmesg
Também é possível usar o AUDIT
alvo para o registro, nesse caso, os registros são gravados no log de auditoria por auditd . Quando você escreve uma regra com AUDIT
target, é necessário especificar o tipo de registro de auditoria por meio da opção --type
.
Exemplo:
-
Aceitar pacote associado a conexões estabelecidas.
iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-
Outros pacotes são registrados (com um limite de taxa). Um prefixo a ser incluído no log pode ser definido com a opção
--log-prefix
.iptables -A INPUT -m limit --limit 5/min -j LOG \ --log-prefix "iptables: " --log-level info
Observe que as regras do iptables são avaliadas em ordem. O processamento é interrompido na primeira regra de correspondência para ACCEPT
ou DROP
target. LOG
target não para o processamento.