Log del FireWall di linux


Nel mini HowTO sulla configurazione
o costruzione di un firewall
con iptables su linux
ho implementato un firewall su una sola
scheda di rete e per ogni drop o connessione rifiutata che veniva
effettuata mandavo un segnale di log in modo da poter tener traccia
delle connessioni pericolose nel mio server.

I log del Firewall vengono tutti memorizzati nel file di linux
(nella distribuzione RedHat) /var/log/messages.

cd /var/log/
vi ./messages

oppure
cat ./messages

Questo file è pieno zeppo di log di tutto il server, in
esso vengono memorizzate le principali e generiche operazioni effettuate
dal server. se il vostro firewall loggerà qualcosa lo troverete
sotto questa forma:

Jan 19 13:19:08 srv kernel: Nuova non syn:IN=eth0
OUT= MAC=00:04:76:e7:51:a0:00:02:16:ff:4a:a0:08:00 SRC=151.26.156.138
DST=213.82.114.90 LEN=40 TOS=0x00 PREC=0x00 TTL=117 ID=6905 DF PROTO=TCP
SPT=1369 DPT=80 WINDOW=7713 RES=0x00 ACK FIN URGP=0

ovviamente se impostate un log level più o meno alto otterrete
rispettivamentye più o meno informazioni.
Queste che vedete sopra secondo me sono le indispensabili:

Data e ora del log
Nome del server (srv in questo caso)
kernel: messaggio impostato con il parametero –log-prefix "messaggio"
IN=nome interfaccia
OUT=nome interfaccia
MAC=Mac address della scheda
SRC= ip sorgente del pacchetto
DST= ip di destinazione
LEN= lunghezza
TOS=valore TOS (prossimamente spiegherò questo tipo di parametrizzazione
per la lunghezza e l’ampiezza di banda)
Proto= protocollo utilizzato (TCP,UDP,ICMP ….)
SPT: Porta utilizzata dall’indirizzo chiamante
DPT: Porta richiesta sulla scheda di rete dall’indirizzo chiamante
e poi tutti i vari flag.

In un prossimo howTo spiegherò come seprare i log del firewall
da quelli di sistema, cioè come crare un log a sè
per il firewall.

Log del FireWall di linux ultima modifica: 2003-01-25T00:00:00+00:00 da Enrico

Related Posts

Comments are closed.