IPTables: Как вести журнал и устанавливать определенный файл журнала
Можно ли регистрировать все разорванные соединения с помощью IPTables и установить файл iptables.log для входа в / var / log /?
Вы можете сделать это, настроив iptables на "пометку" сообщений, например,
iptables -A INPUT -s 192.0.2.0/24 -j LOG --log-prefix='[iptables] '
, что вызовет сообщение журнала, префикс которого будет содержать текст [iptables]
Теперь вы можете настроить ваш rsyslog на отправку этих сообщений в определенный лог-файл, добавив соответствующую запись в его настройках e. g.
:msg,contains,"[iptables] " /var/log/iptables.log
существует способ протоколирования пакетов в IPTables. сначала вам нужно создать новую цепочку протоколирования пакетов.
iptables -N LOGGING
затем вам нужно добавить, какие пакеты вы будете протоколировать с помощью следующих команд.
iptables -A INPUT -j LOGGING
iptables -A OUTPUT -j LOGGING
теперь вы можете протоколировать пакеты в syslogs с помощью этой команды.
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
наконец эта команда.
iptables -A LOGGING -j DROP
пожалуйста, добавьте эти новые строки в нижнюю часть ваших IPTables файлов.