Início / unix / Perguntas / 423778
Accepted
debek
Asked: 2018-02-14 01:58:05 +0800 CST

Registrar eventos do iptables no centos 7

  • 772

Eu tenho iptables no meu centos 7. Meu firewalld está desativado. Como posso registrar meus eventos do iptables? No debian, é a opção dmesg, mas não sei como configurá-la no centos.

Quero registrar todos os meus eventos do iptables. Regra não específica.

centos iptables

5 respostas

  1. Quando um pacote corresponde a uma iptables ... -j LOGregra, uma mensagem de log do kernel é gerada. Você pode especificar o nível de gravidade da mensagem usando a --log-level <level>opção, onde <level>pode ser um dos identificadores de nível de syslog padrão : emerg, alert, crit, error, warning, noticeou .infodebug

    Essas mensagens de log são processadas por rsyslog: se o nível de gravidade for baixo o suficiente, rsyslogpode descartar completamente as mensagens. Como as mensagens de log do iptables vêm do kernel, sua categoria de log sempre será kern. Portanto, /etc/rsyslog.confverifique qual é o nível mínimo de gravidade para kern.*as mensagens serem acionadas e em qual arquivo de log elas serão armazenadas. Em seguida, defina um nível de gravidade apropriado para suas iptables -j LOGregras.

    Ou use a iptables ... -j LOG --log-prefix <prefix>opção de adicionar um prefixo identificável às mensagens do iptables e, em seguida, use os recursos avançados de rsyslogpara gravar as mensagens do iptables em um arquivo de log separado.

    • 6
  2. Best Answer

    Encontrei a melhor solução para mim: Nível de alerta:

    iptables -A INPUT -j LOG --log-prefix "BAD_INPUT: " --log-level 4
iptables -A FORWARD -j LOG --log-prefix "BAD_FORWARD: " --log-level 4
iptables -A OUTPUT -j LOG --log-prefix "BAD_OUTPUT: " --log-level 4

    Nível de depuração:

    iptables -A INPUT -j LOG --log-prefix "BAD_INPUT: " --log-level 7
iptables -A FORWARD -j LOG --log-prefix "BAD_FORWARD: " --log-level 7
iptables -A OUTPUT -j LOG --log-prefix "BAD_OUTPUT: " --log-level 7

    Os logs são armazenados em:

    /var/log/messages

    Exemplo de saída:

    Aug  4 13:22:40 centos kernel: BAD_INPUT: IN= OUT=em1 SRC=192.168.1.23 DST=192.168.1.20 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=59228 SEQ=2
Aug  4 13:23:00 centos kernel: BAD_INPUT: IN=em1 OUT= MAC=a2:be:d2:ab:11:af:e2:f2:00:00 SRC=192.168.2.115 DST=192.168.1.23 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=9434 DF PROTO=TCP SPT=58428 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0
    • 3

  3. O CentOS 7 usa o journald do systemd como o sistema de logs padrão e, com isso, os logs do kernel (como os do iptables ) não são direcionados para, /var/log/messagesmas para o journald e devem ser exibidos passando o -k(significando logs do kernel) para o journalctl assim:

    journalctl -k

    Verifique o man of journalctl aqui ou qualquer um dos muitos tutoriais na rede para descobrir todas as opções; mas provavelmente você usará -fpara seguir os logs, -bpara incluir apenas logs desde a inicialização anterior, --sincepara selecionar logs por data ou --no-pagerpara desabilitar o pager padrão na saída.

    Para gerar os logs, você terá que usar a -j LOGação com iptables conforme indicado em outras respostas, e provavelmente você gostaria de incluir --limitpara evitar inundar seus logs:

    iptables -A INPUT -j LOG -limit 1/s --limit-burst 3 --log-prefix "INPUT REJECTED: " --log-level 4
    • 1

  4. Você pode ativar o registro por este comando (por exemplo, para a cadeia INPUT):

    iptables -A INPUT -j LOG
    • 0

  5. O iptables registra eventos /var/log/messagesno CentOS 7.

    • 0

relate perguntas