3.5 Palomuurin lokitus

Palomuurin toimintaa on hyvä seurata lokien avulla. Tässä kappaleessa käydään läpi, kuinka palomuuriloki saadaan aikaan. Asian ratkaisemikseksi on varmasti olemassa parempiakin vaihtoehtoja. Tässä mallissa asetetaan iptablesin log-level debugiksi ja ohjataan kaikki debug-tason lokit omaan tiedostoon, firewall.log. Koska normaalitilassa minkään palvelun lokitustaso ei ole debug, tulee palomuuriin iptablesin lisäksi ainoastaan käynnistyksen yhteydessä tulevat viestit.

  1. Muokkaa ensin tiedoston /etc/syslog.conf alku seuraavaan muotoon:

    auth,authpriv.*                 /var/log/auth.log
    *.*;auth,authpriv.none;\
    kern.!=debug                    -/var/log/syslog
    #cron.*                         /var/log/cron.log
    daemon.*                        -/var/log/daemon.log
    kern.debug                      -/var/log/firewall.log
    kern.*;kern.!=debug             -/var/log/kern.log
    lpr.*                           -/var/log/lpr.log
    mail.*                          -/var/log/mail.log
    user.*                          -/var/log/user.log
    uucp.*                          /var/log/uucp.log
    

    ja kommentoi vielä rivi, joka alkaa *.=debug;\

  2. Lataa lokitusdaemonit uudelleen komennoilla:

    /etc/init.d/sysklogd restart

    /etc/init.d/klogd restart

  3. Lisää palomuuriskriptiin INPUT -policyn viimeiseksi riviksi:

    # Kaikki muu ulkoa tuleva liikenne lokitetaan
    iptables -A INPUT -i eth1 -p all -j LOG --log-level debug
    



Lauri Laukkarinen 2006-03-23