ดักจับกิจกรรมแปลกปลอมที่ผ่านเข้ามาทางเน็ตเวิร์ค

ถ้าเราติดตั้ง iptables เป็น firewall ให้กับ Linux Server ของเราเพื่อ block พอร์ตทั้งหมดที่เราไม่ได้ใช้งานแล้ว อีกสิ่งหนึ่งที่เราควรทำเพิ่มเติมคือการ log ไว้ด้วยว่ามีใครพยายามส่งข้อมูลเข้าออกพอร์ตที่เรา block ไว้บ้างรึเปล่า

เพื่อให้ iptables ทำการ log กิจกรรมที่ถูกบล็อกเอาไว้ด้วย ให้สั่งคำสั่งดังนี้

iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A OUTPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP

เท่านี้ iptables ก็จะ log กิจกรรมในพอร์ตที่ถูกบล็อกไว้ในไฟล์ /var/log/messages ให้เราไว้ตรวจสอบภายหลังแล้ว

แต่ไฟล์ /var/log/messages มีไว้ log แทบทุกเรื่อง อาจจะดูมั่วไปหมด ถ้าต้องการให้ iptables บันทึกข้อมูลไว้ที่ไฟล์อื่นต่างหาก ให้เติมบรรทัดนี้ลงไปในไฟล์ /etc/syslog.conf

kern.warning   /var/log/custom.log

แบบนี้ข้อมูลจะถูกจดไว้ที่ไฟล์ /var/log/custom.log แทน

Leave a Reply

Your email address will not be published. Required fields are marked *