Есть много способов регистрировать трафик для веб-сервера. Например, если я хочу регистрировать весь входящий трафик, я могу поместить следующую строку в качестве первого правила, добавленного к INPUT цепочка:
-A INPUT -j LOG --log-prefix "IPTABLES: " --log-level info
Если я хочу регистрировать все новые подключения, я могу поместить указанное выше правило после этого правила:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Или, если я хочу регистрировать сброшенные соединения, я могу разместить правило ведения журнала после правил принятия и непосредственно перед правилом отбрасывания, например:
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -j LOG --log-prefix "IPTABLES: " --log-level info
-A INPUT -j DROP
Я обнаружил, что многие из примеров конфигураций, обнаруженных в онлайн-журнале, регистрируют только некоторые определенные сброшенные соединения, такие как искаженные пакеты или нежелательные подключения к SSH. Если соединения уже были разорваны специально из-за требований, почему люди по-прежнему хотят вести журнал для этого? Разве регистрация всех входящих соединений (с ограничением скорости) не будет более полезной, чем регистрация нежелательного трафика?
Добавить комментарий: Я хочу подчеркнуть, что я задаю этот вопрос с целью устранения неполадок в сети.