3.5 Palomuurin lokitus

Palomuurin toimintaa on hyvä seurata lokien avulla. Tässä kappaleessa käydään läpi, kuinka palomuuriloki saadaan aikaan. Asian ratkaisemikseksi on varmasti olemassa parempiakin vaihtoehtoja. Tässä mallissa asetetaan iptablesin log-level debugiksi ja ohjataan kaikki debug-tason lokit omaan tiedostoon, firewall.log. Koska normaalitilassa minkään palvelun lokitustaso ei ole debug, tulee palomuuriin iptablesin lisäksi ainoastaan käynnistyksen yhteydessä tulevat viestit.

1. Muokkaa ensin tiedoston /etc/syslog.conf alku seuraavaan muotoon:

   auth,authpriv.*                 /var/log/auth.log
   *.*;auth,authpriv.none;\
   kern.!=debug                    -/var/log/syslog
   #cron.*                         /var/log/cron.log
   daemon.*                        -/var/log/daemon.log
   kern.debug                      -/var/log/firewall.log
   kern.*;kern.!=debug             -/var/log/kern.log
   lpr.*                           -/var/log/lpr.log
   mail.*                          -/var/log/mail.log
   user.*                          -/var/log/user.log
   uucp.*                          /var/log/uucp.log
   

   ja kommentoi vielä rivi, joka alkaa *.=debug;\

2. Lataa lokitusdaemonit uudelleen komennoilla:
   
   /etc/init.d/sysklogd restart
   
   /etc/init.d/klogd restart

3. Lisää palomuuriskriptiin INPUT -policyn viimeiseksi riviksi:

   # Kaikki muu ulkoa tuleva liikenne lokitetaan
   iptables -A INPUT -i eth1 -p all -j LOG --log-level debug