Boa noite Jessica, para logar as regras do Iptables em um arquivo em serapado faça isso: A regra que irá logar deve ficar antes da regra que permitirá ou bloqueará o acesso, por exemplo: iptables -A INPUT -i eth12 -d 172.16.0.3 -p tcp --dport 666 -j LOG --log-prefix "iptables" -> Tenho o SSH rodando na porta 666, criei a regra de fará o log das conexões. iptables -A INPUT -i eth12 -d 172.16.0.3 -p tcp --dport 666 --syn -m state --state NEW -j ACCEPT -> Depois criei a regra que liberará o acesso. Note que a regra logara o acesso como "iptables". Depois crie um rsyslog uma regra para filtrar isso e enviar para o arquivo em separado: :msg, contains, "iptables" /var/log/iptables.log -> essa linha logará tudo que tiver "iptables" no arquivo /var/log/iptables.log & ~ -> Essa linha diz para que depois que for logado a mensagem deve ser descartada,evitando o log no messages ou syslog.
On Sun, 2012-10-07 at 12:10 -0300, Fabiano Pires wrote: > O iptables só loga o que for especiicado pra ele logar. Assim, você precisa > rever suas regras de FW. Nelas, em algum ponto está a linha que gera esse > log. Para evitar que logue em mais de uma arquivo, reveja as confiurações > do rsyslog, syslog ou syslog-ng (mas entenda o que está fazendo antes de > mexer !!!) > > []'s > Fabiano Pires > http://pragasdigitais.blogspot.com/ > > > > Em 4 de outubro de 2012 15:37, Jessica Nunes <nunes...@gmail.com> escreveu: > > > Boa Tarde pessoal, > > > > Eu trabalho com alguns servidores Linux e em todos eles o firewall está > > escrevendo a mesma mensagem de log > > no /var/log/messages, /var/log/syslog e no /var/log/kern.log, e isso tá > > ficando grande. > > Se alguém tiver uma dica de por que ele tá fazendo isso e o que seria o > > certo dele fazer, onde ele deveria escrever na > > verdade. > > > > Essa é a mensagem lá do log: > > > > Oct 4 15:06:41 server1 kernel: [18274367.072214] *** DROP INPUT *** > > IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:56:00:02:15:08:00 SRC=13.100.0.58 > > DST=13.100.255.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=7590 PROTO=UDP > > SPT=137 DPT=137 LEN=58 > > Oct 4 15:06:41 server1 kernel: [18274367.083022] *** DROP INPUT *** > > IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:50:56:70:4a:31:08:00 SRC=13.100.1.69 > > DST=13.100.255.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=31282 PROTO=UDP > > SPT=137 DPT=137 LEN=58 > > > > > > Obrigada! > > > > -- > > Jessica Nunes > > Graduanda em Sistemas de Informação na > > UFRPE > > > > -- Adiel de Lima Ribeiro facebook.com/sembr.dyndns.info
