Como monitorar IPs e portas com iptables

brenosanto
(usa Outra)

Enviado em 23/01/2014 - 21:06h

Olá pessoal, mais uma vez estou aqui para pedir ajuda.

Utilizo Centos e gostaria de saber qual é o melhor modo de analisar em tempo real os LOGs do firewall(iptables).

Pesquisei na net e encontrei alguns tutoriais que não funcionaram muito bem, fiz o seguinte:


#### Passo 1 ####

adicionei três regras de firewall:
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
iptables -A OUTPUT -j LOG

##### Passo 2 #####
adicionei kern.warning -/var/log/iptables.log no arquivo /etc/rsyslog.conf e reiniciei o serviço "service rsyslog restart"

### Passo 3 ####
por ultimo apliquei o comando "tail -f /var/log/iptables.log"

Apareceu um tela preta com muita informação, mas atualizava em velocidade super rápida, impossível de conseguir ler e acompanhar, deve ter alguma coisa errada nesse procedimento.

rcjeferson
(usa Debian)

Enviado em 24/01/2014 - 01:18h

Boa noite,

Cara, até onde eu percebi o procedimento está correto, ele está salvando em log todos os INPUTS, FORWARDS e OUTPUTS, e provavelmente você tem um trafego considerável para gerar logs em uma velocidade relativamente rápido.

Abraço.

brenosanto
(usa Outra)

Enviado em 24/01/2014 - 12:51h

Caro rcjeferson, bom dia!
Eu não tenho tanto trafego assim, o servidor em questão estava ligado somente a um PC e na minha casa, deve ter algo errado.

removido
(usa Nenhuma)

Enviado em 25/01/2014 - 01:47h

Bom dia,


Se a questão e velocidade então utilize o tail setando o numero de linhas que você deseja exibir, desta forma você poderá ter noção do que esta passando nas cadeias do firewall e tomar alguma medida se for necessário.


tail -1000 /var/log/iptables.log


Exibir as ultimas 1000 linhas do arquivo de log.



Att,

Tiago Eduardo Zacarias
LPIC-1

brenosanto
(usa Outra)

Enviado em 25/01/2014 - 02:47h

thiago, bom dia!

Então devo manter a configuração que já foi feita?

No diretório /var/log não tem o iptables.log.

Eu devo criar utilizando o comando touch, exemplo: touch iptables.log?

stefaniobrunhara
(usa CentOS)

Enviado em 25/01/2014 - 09:25h

Você pode usar o tcpdump também, já tentou com ele?






tcpdum -i eth0

tcpdump -i eth0 -n host 192.168.0.1

-n = não resolver nomes

host = olhar só para esta ip

veja o link
http://www.dicas-l.com.br/arquivo/como_utilizar_o_tcpdump.php

px
(usa Debian)

Enviado em 25/01/2014 - 15:35h

Wireshark e tcpdump são sniffers de pacotes. Pode usar o iptraf para monotorar os ips e suas conexões.

brunnus
(usa Ubuntu)

Enviado em 16/09/2014 - 11:01h

Sua pergunta funcionou como uma dica pra mim implementar este modelo de log... :D