Registos

Os registos da Firewall são essenciais para o reconhecimento de ataques, compreender os problemas de funcionamento das regras criadas, ou mesmo detectar actividade não habitual na sua rede. Deverá incluir regras de registo na sua firewall para que estes sejam criados, e estas deverão ser colocadas antes de qualquer regra de terminação (uma regra com um alvo que decide o destino do pacote como por exemplo ACCEPT, DROP ou REJECT). Por exemplo:

sudo iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j LOG --log-prefix "NEW_HTTP_CONN: "

Um pedido na porta 80 solicitado a partir da máquina local, gerará um registo no dmesg com este aspecto:

[4304885.870000] NEW_HTTP_CONN: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=58288 DF PROTO=TCP SPT=53981 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0

Este registo aparecerá também no /var/log/messages, /var/log/syslog, e /var/log/kern.log. Este comportamento pode ser modificado editando o /etc/syslog.conf apropriadamente ou instalando e configurando o ulogd e usando-o em vez do LOG. O serviço ulogd é um servidor que escuta ordens de criação de registo originadas no kernel, especificamente de firewalls, e pode criar o registo em qualquer ficheiro, ou mesmo numa base de dados application>PostgreSQL