HowTO sulla configurazione o costruzione di un firewall con iptables su linux ho implementato un firewall su una sola scheda di rete e per ogni drop o connessione rifiutata che veniva effettuata mandavo un segnale di log in modo da poter tener traccia delle connessioni pericolose nel mio server.
I log del Firewall vengono tutti memorizzati nel file di linux (nella distribuzione RedHat) /var/log/messages.
cd /var/log/
vi ./messages
oppure
cat ./messages
Questo file è pieno zeppo di log di tutto il server, in esso vengono memorizzate le principali e generiche operazioni effettuate dal server. se il vostro firewall loggerà qualcosa lo troverete sotto questa forma:
Jan 19 13:19:08 srv kernel: Nuova non syn:IN=eth0 OUT= MAC=00:04:76:e7:51:a0:00:02:16:ff:4a:a0:08:00 SRC=151.26.156.138 DST=213.82.114.90 LEN=40 TOS=0x00 PREC=0x00 TTL=117 ID=6905 DF PROTO=TCP SPT=1369 DPT=80 WINDOW=7713 RES=0x00 ACK FIN URGP=0
ovviamente se impostate un log level più o meno alto otterrete rispettivamentye più o meno informazioni.
Queste che vedete sopra secondo me sono le indispensabili:
Data e ora del log
Nome del server (srv in questo caso)
kernel: messaggio impostato con il parametero –log-prefix "messaggio"
IN=nome interfaccia
OUT=nome interfaccia
MAC=Mac address della scheda
SRC= ip sorgente del pacchetto
DST= ip di destinazione
LEN= lunghezza
TOS=valore TOS (prossimamente spiegherò questo tipo di parametrizzazione per la lunghezza e l’ampiezza di banda)
Proto= protocollo utilizzato (TCP,UDP,ICMP ….)
SPT: Porta utilizzata dall’indirizzo chiamante
DPT: Porta richiesta sulla scheda di rete dall’indirizzo chiamante
e poi tutti i vari flag.
In un prossimo howTo spiegherò come seprare i log del firewall da quelli di sistema, cioè come crare un log a sè per il firewall.]]>
