Esta pagina se ve mejor con JavaScript habilitado

Iptables logger

 ·  🎃 kr0m

Guardar en un log registros sobre la llegada de cierto tráfico de red puede resultar útil en multitud de ocasiones, por ejemplo cuando se migra una base de datos pero no se está seguro de si algún proceso sigue atacando a la ip del servidor antiguo, para detectar estos fallos de configuración podemos definir una regla de iptables que nos logee la llegada de tráfico al puerto del servicio y unos días mas tarde revisar dicho log.

En este caso vamos a hacerlo para el puerto de MySQL:

iptables -I INPUT 1 -p tcp --dport 3306 -j LOG --log-prefix “IPTables-MySQL port: " --log-level 6

Configuramos los filtros de syslog-ng para que nos guarde los logs con ese log-level en un fichero determinado:

vi /etc/syslog-ng/syslog-ng.conf

destination iptables { file("/var/log/iptables.log"); };
filter f_iptables { level(info); };
log { source(src); filter(f_iptables); destination(iptables); };

Reiniciamos el servicio:

/etc/init.d/syslog-ng restart

Ahora ya podemos ver el tráfico entrante con:

tail -f /var/log/iptables.log

Si te ha gustado el artículo puedes invitarme a un RedBull aquí