Назад | Перейти на главную страницу

Повышение подробности `iptables` и определение места ведения журнала на сервере на базе CentOS?

Здесь возникает странная проблема, связанная с тем, что обратный прокси-сервер больше не направляет трафик должным образом в дистрибутиве на основе CentOS (ClearOS 6.2.x).

Я считаю, что это iptables проблема или что-то еще в том, что я не вижу ничего даже для указания входящего трафика в моем /var/log/messages или /var/log/system.

Как я могу увеличить iptables подробности ведения журнала и проверить, что с ним происходит (с точки зрения уверенности в том, где хранятся данные журнала)?

Ниже приведены общие шаги, которые я предпринял в прошлом, чтобы включить ведение журнала iptables.

Modify Logging
- sudo vi /etc/syslog.conf
- kern.warning /var/log/iptables.log
 - sudo /sbin/service syslog restart
 - sudo vi /etc/logrotate.d/syslog
- If this file is already there, add /var/log/iptables.log to the first line
- If the file is not there, add it:
/var/log/messages /var/log/secure /var/log/maillog /var/log/spooler /var/log/boot.log /var/log/cron /var/log/iptables.log {
    sharedscripts
    postrotate
        /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
    endscript
}
Implement firewall rules
• sudo vi /etc/sysconfig/iptables.script
• sudo chmod 700 /etc/sysconfig/iptables.script
• sudo /etc/sysconfig/iptables.script

В моем скрипте iptables у меня есть все мои общие правила разрешения вверху, а затем внизу у меня есть некоторые конкретные правила ведения журнала. Ниже приведены несколько примеров.

# Log dropped traffic
/sbin/iptables -A INPUT -j LOG -m limit --limit 10/m --log-level 4 --log-prefix "Dropped Traffic: "
# Log outbound traffic for anything not equal private ip ranges (this is defined in some previous rules)
/sbin/iptables -A OUTPUT -j LOG -m limit --limit 10/m --log-level 4 --log-prefix "Outbound Traffic: "
# Log traffic that doesn't hit a rule above (stuff that may be blocked in the future)
/sbin/iptables -A INPUT -j LOG -m limit --limit 10/m --log-level 4 --log-prefix "Potentially Dropped Traffic: "

Очевидно, с этим можно сделать массу вещей. Вот - хорошая ссылка для получения общей информации.

Вы можете использовать цель '-j LOG', чтобы записать соответствующий пакет в системный журнал. Вы также можете добавить к нему любую произвольную строку.

Чтобы помочь в устранении проблемы, вы можете использовать сетевой сниффер, такой как wirehark или tcpdump. Кроме того, счетчики iptables могут стать хорошим источником информации о менее загруженных серверах, отслеживая изменения определенного правила.

Вы можете просмотреть точные счетчики с помощью iptables -L -nvx.