Назад | Перейти на главную страницу

Правила Iptables LOG - для чего они нужны?

Вики-арка гласит:

Цель LOG может использоваться для регистрации пакетов, которые попадают в правило. В отличие от других целей, таких как ACCEPT или DROP, пакет продолжит движение по цепочке после достижения цели LOG.

Итак, вы можете настроить правило, которое будет регистрировать весь трафик для некоторой службы, например SSH. Правильно?

Для чего это было бы хорошо? Существуют ли программы для обработки / анализа таких файлов журналов? Они удобочитаемы?

  1. Вы могли бы, но, как вы подразумеваете, регистрация всех пакетов не очень полезная функция. У нас есть такие вещи, как tcpdump для этого, и их не обязательно всегда включать.
  2. LOG в первую очередь полезен непосредственно перед отклонением или отказом, особенно в конце отбрасывать / отклонять по умолчанию политики. Это позволяет вам отлаживать отбрасываемый трафик. Чем сложнее ваша политика, тем больше пользы вы получите от нее.
  3. Да.
  4. Да.

Если вы не хотите, чтобы сообщения попадали в системный журнал, ULOG и NFLOG Также доступны цели, но для обработки сообщений им требуются отдельные программы регистрации.