Documentación<Anterior | Contenido | Siguiente>
3.4. Registros
Los registros de firewall son esenciales para reconocer ataques, solucionar problemas de las reglas de firewall y detectar actividad inusual en su red. Sin embargo, debe incluir reglas de registro en su firewall para que se generen, y las reglas de registro deben ir antes que cualquier regla de terminación aplicable (una regla con un objetivo que decide el destino del paquete, como ACCEPT, DROP o REJECT).
Si está utilizando ufw, puede activar el registro ingresando lo siguiente en una terminal:
sudo ufw iniciando sesión
Para desactivar el cierre de sesión en ufw, simplemente reemplace on off en el comando anterior. Si usa iptables en lugar de ufw, ingrese:
sudo iptables -A INPUT -m estado --estado NUEVO -p tcp --dport 80 \
-j LOG --log-prefix "NEW_HTTP_CONN:"
Una solicitud en el puerto 80 desde la máquina local, entonces, generaría un registro en dmesg que se ve así (una sola línea dividida en 3 para ajustarse a este documento):
[4304885.870000] NEW_HTTP_CONN: IN = lo OUT = MAC = 00: 00: 00: 00: 00: 00: 00: 00: 00: 00: 00: 00: 08: 00 SRC = 127.0.0.1 DST = 127.0.0.1 LEN = 60 TOS = 0x00 PREC = 0x00 TTL = 64 ID = 58288 DF PROTO = TCP SPT = 53981 DPT = 80 VENTANA = 32767 RES = 0x00 SYN URGP = 0
El registro anterior también aparecerá en / var / log / messages, / var / log / syslogy /var/log/kern.log. Este comportamiento se puede modificar editando /etc/syslog.conf apropiadamente o instalando y configurando ulogd y usando el destino ULOG en lugar de LOG. El demonio ulogd es un servidor de espacio de usuario que escucha las instrucciones de registro del kernel específicamente para los firewalls, y puede iniciar sesión en cualquier archivo que desee, o incluso en una base de datos PostgreSQL o MySQL. La comprensión de los registros de su firewall se puede simplificar mediante el uso de una herramienta de análisis de registros como logwatch, fwanalog, fwlogwatch o lire.