http://www.zago.eti.br/firewall/log-iptables.txt FAQ e links relacionados a log do iptables. Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux veja também o FAQ relacionado ao serviço que deseja analizar os logs, por exemplo, o squid, apache, samba e outros serviços tem seus próprios arquivos de log em diretórios especificos ou em /var/log, veja também: http://www.zago.eti.br/log.txt sobre sniffer: http://www.zago.eti.br/firewall/sniffer.txt Scanner de portas e pacotes: http://www.zago.eti.br/firewall/port-scanner.txt FAQ e indicações de aplicativos pra monitorar a rede, tais como: IDS, PIDS, ACID e relacionados. http://www.zago.eti.br/firewall/snort.txt http://www.zago.eti.br/firewall/tcpdump.txt ******************************************************** ******************************************************** LOG Arquivos de logs criados pelo iptables registra todo tráfego que for pelo iptables por padrão no arquivo /var/log/kern.log veja os resultados de: # iptables -t filter -L INPUT # iptables -L INPUT -n # iptables -L INPUT -n -v ******************************************************** De:  Leonardo Pinto Para:  'Nilton Camargo' Cc:  Lista Conectiva (E-mail) Assunto:  RES: (linux-br)script firewall Data:  Fri, 18 Jun 2004 16:58:52 -0300 Olá Nilton, iptables -A FORWARD -d micro2 -j LOG --log-prefix "iptablesFW " iptables -A INPUT   -d micro2 -j LOG --log-prefix "iptablesIP " iptables -A OUTPUT  -d micro2 -j LOG --log-prefix "iptablesOP " ou man iptables Leonardo Pinto. > Nobres, > Preciso de algo para analizar as logs do iptables....alguém > pode me dar uma > dica ******************************************************** ******************************************************** De:  Elias Andrade - Suporte técnico - Litoral On Line Para:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br)Monesa 0.23 Data:  Tue, 18 Nov 2003 01:03:16 -0200 (EDT)         Pessoal, esta disponivel a última versão do monesa, a 0.23.         Relembrando, Monesa é um conjunto de scripts, que forma uma ferramenta para monitoração de hosts prática e simples, utilizando o protocolo ICMP. Atualmente esta rodando sob Linux, SUN/Solaris e Freebsd. Esta última atualização para linux corrigiu alguns bugs antigos, em relação as travadas da nova versão do ping (iputils), trouxe relatório dos logs via HTML, e alerta via SMS!         O mesmo pode ser baixado diretamente pelo link:         http://monesa-br.cjb.net/downloads/monesa-0.23-pt.tar.gz         Elias Andrade ******************************************************** De:  Ismael Silveira Para:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br)Logando com Iptables Data:  Mon, 10 Nov 2003 15:35:57 -0300 Olá, Criei uma regra no IPtables pra logar conexões na porta do Terminal Server: iptables -A INPUT -s 0/0 -d 200.248.129.2 -p tcp --dport 3389 -j LOG --log-level DEBUG --log-prefix MONITORA_TSERVER As minhas dúvidas são, como fazer pra ele logar conexões bem-sucedidas? Assim ele só tá logando tentativas frustradas. E pq ele não tá logando no arquivo do nível debug e sim no dmesg? Eu já tinha até lido sobre isso mas perdi o link... :-/ [root@gw /etc]# logger -p debug testando log [root@gw /etc]# tail -f /var/log/debug Nov 10 14:55:29 gw ismael: testando log [root@gw /etc]# dmesg MONITORA_TSERVER IN=eth1 OUT= MAC=00:60:08:05:2f:da:00:04:23:2a:53:8c:08:00 SRC=192.168.1.17 DST=200.248.129.2 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=56909 DF PROTO=TCP SPT=1695 DPT=3389 WINDOW=64240 RES=0x00 SYN URGP=0 No meu syslog.conf # Log debug messages *.debug                                                 /var/log/debug Obrigado, Ismael ******************************************************** ****************************************************************** De: dicas-l-owner@unicamp.br Assunto: [Dicas-L] Projeto nacional Netfilter2html Data: 24 Jun 2002 00:19:35 -0300 -------------------------------------------------------------------- Endereço: http://www.Dicas-l.com.br/dicas-l/20020624.shtml -------------------------------------------------------------------- Software Livre na Unicamp http://www.softwarelivre.unicamp.br -------------------------------------------------------------------- Projeto nacional Netfilter2html Colaboração: Renato Murilo Langona - LinuxSecurity Brasil Solutions S/C Ltda. Este script desenvolvido por Rodrigo P. Telles tem a função de ler o arquivo de registro LOG do iptables e procurar por entradas IN= e OUT= , criando uma saída HTML de fácil interpretação e analise. Esta versão não é apenas um port do securitylog2html para netfilter/iptables, pois mais da metade de seu código foi reescrito e melhorado, sua interface foi modificada para atender ao seu real intuito que é ser simples, porém bonito e funcional. Nesta versão, a parte de configuração foi separada do script principal e agora reside em um arquivo denominado netfilter2html.conf, esta foi uma mudança significativa e necessária, pois assim evita a modificação errada do conteúdo do script, causando o seu mau funcionamento. Recursos: - Configuração de: - portas que devem aparecer em destaque (vermelho) - IPs que não devem aparecer no relatório - portas de origem (src) que não devem aparecer no relatório - portas de destino (dst) que não devem aparecer no relatório - Cor da fonte principal - Número máximo de linhas por página (evita flooding do browser) - Paginação do relatório, caso tenha mais linhas que o máximo permitido por página - Nome dos arquivos HTML e sua extensão - Diretório de destino dos arquivos do relatório - Agora o número de IPs/portas retirados do relatório via configuração são mostrados no index de relatórios (Removed by rule) - São mostrados também no index de relatórios, o número de warnings que o relatório possui - Leia o arquivo README do pacote para maiores informações Um exemplo da saída gerada por este script pode ser visto atraves de : http://webtools.linuxsecurity.com.br/fwreport/index.html Mais informações: http://www.linuxsecurity.com.br/article.php?sid=5953 ******************************************************** De: JPHiL Para: zeluis@iserver1.objetivo-americana.com.br Cc: Linux-br Assunto: Re: (linux-br) log de acessos via iptables Data: 12 Dec 2002 17:44:02 -0200 > Pessoal, > > tenho um firewall configurado e precisava fazer o seguinte. > Supondo que uma das regras da minha política seja essa : > > #iptables -A INPUT -p tcp -s 192.168.1.100 -i eth0 -d 0.0.0.0/0 --dport 80 -j ACCEPT > > É possível escrever uma regra de forma que o iptables faça um log de tudo que > venha do 192.168.1.100 com destino a 0.0.0.0/0 e porta 21, por exemplo, e > direcione esse log para um arquivo qualquer que não seja o /var/log/messages? > > O que preciso na verdade é fazer log de acessos via iptables para todos os > outros protocolos que não seja http, o qual já é tratado pelo meu proxy. > > Agradecido. > > Ze Luis > Prezado Ze Luis, Lendo alguns manuais interessantes, descobri que o que está tentando fazer nao é difícil. Se o que quer é mandar para o LOG tentativas de acesso, por exemplo TELNET, no seu servidor, a regra abaixo pode funcionar ... # Para registrar no log as tentativas de de acesso (--syn) vindas da interface eth0 (-i eth0) ao telnet (--dport 23) iptables -t filter -A INPUT -p tcp --syn --dport 23 -i eth0 -j LOG # Para efetuar o bloqueio, por exemplo iptables -t filter -A INPUT -p tcp --syn --dport 23 -i eth0 -j DROP Mais informações podem ser encontradas no excelente manual http://focalinux.cipsga.org.br/guia/avancado/ch-fw-iptables.htm ******************************************************** De: JPhiL Para: Marcos Everaldo Lenharo , linux-br Assunto: Re: (linux-br) log no iptables Data: 14 Jan 2003 02:22:50 -0200 Marcos Everaldo Lenharo wrote: > alguem sabe como faço para fazer com que a seguinte regra, comece a logar? > iptables -A INPUT -p tcp -s 0/0 -d $IP_LOCAL2 --dport 23 -j DROP > Lah vai, Marcos. coloque a linha abaixo antes da sua regra. Ou seja: iptables -A INPUT -p tcp -s 0/0 -d $IP_LOCAL2 --dport 23 -j LOG iptables -A INPUT -p tcp -s 0/0 -d $IP_LOCAL2 --dport 23 -j DROP O registro de LOG vai para o syslog. Outra. Voce tb pode usar o parametro "--log-prefix" para registrar qual foi a tentativa de acesso. Por exemplo, iptables -A INPUT -p tcp -s 0/0 -d $IP_LOCAL2 --dport 23 -j LOG --log-prefix "tentativa de acesso a porta 23" []'s ******************************************************** De:  Jorge Godoy Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Logs Iptables Data:  Fri, 26 Mar 2004 08:39:35 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Thursday 25 March 2004 23:33, robsoncb2 wrote: > Será que esse arquivo vai sofer logrotate como os > outros arquivos nesse diretório ? Pois pretendo usar a > solução e não posso errar, agradeço opiniões obrigado. Não vai ser rotacionado se você não configurar o logrotate para fazê-lo. Dê uma olhada na documentação do logrotate. Quanto ao não errar, obviamente você vai testar isso em uma máquina onde pode errar, não? Lá você terá as respostas para outras perguntas também. - -- Godoy.     -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) ******************************************************** De:  Alejandro Flores Responder-a:  Alejandro Flores Para:  Pedro Augusto Cc:  br-linux Assunto:  Re: (linux-br) Como faço para o iptables logar o trá fego de entrada e saida da porta 6767? Data:  Mon, 29 Nov 2004 17:59:38 -0300 Olá, > Galera, > eu preciso que o meu firewall logue todo o tráfego (tanto entrada > quanto de saída) da porta 6767  em um arquivo de log diferente do log > principal do sistema.... tem como eu fazer isso? Sim e não. Os logs do iptables vão parar no syslog. Porém, você pode especificar um nivel diferente de prioridade, e no syslog você pode especificar qual arquivo você vai salvar aquele nivel. Exemplo: iptables -A FORWARD -p tcp --dport 6767 -j LOG --log-level debug --log-prefix "Porta 6767: " E no /etc/syslogd.conf você coloca uma linha como: kern.=debug                                             /var/log/log_porta6767 Porém, se outros programas estiverem enviando informações de debug para o syslog, provavelmente você vai ter um 'lixo' no seu arquivo. Agora, você pode especificar um 'prefix' diferente, e com isso filtrar com grep no messages. Abraço! Alejandro Flores ******************************************************** De:  André Carezia Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Logs do iptables Data:  Tue, 30 Nov 2004 22:35:37 -0200 On Tue, 30 Nov 2004 07:26:41 -0300 Wellington Terumi Uemura wrote: > Na empresa do meu pai colocaram um firewall linux (debian) com > iptables, só que o responsável pelo serviço, não sei como, configurou > o iptables para jogar todos os logs de conexão do iptables para > aparecer em todas as telas do terminal, ficando impossível até mesmo > se logar no sistema pois a tela fica lotada de logs. Arquivo /etc/init.d/klogd: KLOGD="-c 3" -- André Carezia Eng. de Telecomunicações Carezia Consultoria - www.carezia.eng.br ******************************************************** ******************************************************** ******************************************************** ********************************************************