Log iptables eventos no centos 7

0

Eu tenho iptables em meus centos 7. Meu firewalld está desativado. Como posso registrar meus eventos do iptables? No debian é a opção dmesg mas não sei como configurá-lo no centos.

Eu quero registrar todos os meus eventos do iptables. Regra não específica.

    
por debek 13.02.2018 / 10:58

4 respostas

1

Eu encontrei a melhor solução para mim: Nível de aviso:

iptables -A INPUT -j LOG --log-prefix "BAD_INPUT: " --log-level 4
iptables -A FORWARD -j LOG --log-prefix "BAD_FORWARD: " --log-level 4
iptables -A OUTPUT -j LOG --log-prefix "BAD_OUTPUT: " --log-level 4

Nível de depuração:

iptables -A INPUT -j LOG --log-prefix "BAD_INPUT: " --log-level 7
iptables -A FORWARD -j LOG --log-prefix "BAD_FORWARD: " --log-level 7
iptables -A OUTPUT -j LOG --log-prefix "BAD_OUTPUT: " --log-level 7

Os logs são armazenados em:

/var/log/messages

Exemplo de saída:

Aug  4 13:22:40 centos kernel: BAD_INPUT: IN= OUT=em1 SRC=192.168.1.23 DST=192.168.1.20 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=59228 SEQ=2
Aug  4 13:23:00 centos kernel: BAD_INPUT: IN=em1 OUT= MAC=a2:be:d2:ab:11:af:e2:f2:00:00 SRC=192.168.2.115 DST=192.168.1.23 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=9434 DF PROTO=TCP SPT=58428 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
    
por 14.02.2018 / 09:11
2

Quando um pacote corresponde a uma regra iptables ... -j LOG , uma mensagem de log do kernel é gerada. Você pode especificar o nível de gravidade da mensagem usando a opção --log-level <level> , em que <level> pode ser um dos identificadores de nível do syslog padrão: emerg , alert , crit , error , warning , notice , info ou debug .

Essas mensagens de log são processadas por rsyslog : se o nível de gravidade for baixo o suficiente, rsyslog poderá descartar completamente as mensagens. Como as mensagens de log do iptables vêm do kernel, sua categoria de log sempre será kern . Portanto, procure em /etc/rsyslog.conf para ver qual é o nível mínimo de gravidade para kern.* mensagens a serem ativadas e em qual arquivo de registro elas serão armazenadas. Em seguida, defina um nível de gravidade apropriado para suas regras iptables -j LOG .

Ou use a opção iptables ... -j LOG --log-prefix <prefix> para adicionar um prefixo identificável às mensagens iptables e, em seguida, use os recursos avançados de rsyslog para gravar as mensagens iptables em um arquivo de log separado.

    
por 13.02.2018 / 11:20
0

Você pode ativar o registro por este comando (por exemplo, para cadeia INPUT):

iptables -A INPUT -j LOG
    
por 13.02.2018 / 11:06
0

O iptables registra eventos em /var/log/messages no CentOS 7.

    
por 13.02.2018 / 11:23