[Linux] iptables 로그 기록

실습> -j target 사용하기

-j ACCEPT : 패킷 허용
-j DROP   : 패킷 거부
-j REJECT : 패킷 거부
-j LOG    : 로그 기록
-j 사용자 정의 체인  : 사용자 정의 체인으로 이동

-j LOG
--log-prefix '로그기록문자열'
--log-level 4  <-- 기본값

IP주소가 192.168.108.1에서 웹서버(80)로 접속하면 로그를 기록한다.
filter -> INPUT 

-A INPUT
-s 192.168.108.1
-p tcp --dport 80
-j LOG

1. 방화벽 룰 추가
iptables 룰을 추가한다.
[root@www ~]# iptables -F
[root@www ~]# iptables -A INPUT -s 192.168.108.1 -p tcp --dport 80 -j LOG --log-prefix  'Host OS : '
[root@www ~]# iptables -nL

Chain INPUT (policy ACCEPT) target     prot opt source               destination LOG        tcp  --  192.168.108.1        0.0.0.0/0            tcp dpt:80 LOG flags 0 level 4 prefix "Host OS : " Chain FORWARD (policy ACCEPT) target     prot opt source               destination Chain OUTPUT (policy ACCEPT) target     prot opt source               destination

2. 웹 서버 시작 
웹 서버를 시작한다.
[root@www ~]# systemctl start httpd
[root@www ~]# netstat -nltp

Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      980/sshd tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1128/master tcp6       0      0 :::80                   :::*                    LISTEN      16730/httpd tcp6       0      0 :::22                   :::*                    LISTEN      980/sshd tcp6       0      0 ::1:25                  :::*                    LISTEN      1128/master

3. 로그 모니터링
시간을 동기화하고 로그를 모니터링 한다.
[root@www ~]# yum -y install rdate
[root@www ~]# rdate -s time.bora.net
[root@www ~]# date
2021. 11. 03. (수) 20:30:14 KST

[root@www ~]# ls -l /var/log/messages
-rw-------. 1 root root 56734 11월  3 20:32 /var/log/messages

[root@www ~]# tail -f /var/log/messages

4. 웹 서버 접속
Host OS에서 웹 서버로 접속한다.
http://192.168.108.3/


[root@www ~]# tail -f /var/log/messages
  :
  :(생략)
Nov  3 20:34:01 www systemd: Started Session 1796 of user root.
Nov  3 20:34:04 www kernel: Host OS : IN=ens33 OUT= MAC=00:0c:29:72:61:59:00:50:56:c0:00:08:08:00 SRC=192.168.108.1 DST=192.168.108.3 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=44418 DF PROTO=TCP SPT=63471 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0
Nov  3 20:34:04 www kernel: Host OS : IN=ens33 OUT= MAC=00:0c:29:72:61:59:00:50:56:c0:00:08:08:00 SRC=192.168.108.1 DST=192.168.108.3 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=44419 DF PROTO=TCP SPT=63472 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0
Nov  3 20:34:04 www kernel: Host OS : IN=ens33 OUT= MAC=00:0c:29:72:61:59:00:50:56:c0:00:08:08:00 SRC=192.168.108.1 DST=192.168.108.3 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=44420 DF PROTO=TCP SPT=63471 DPT=80 WINDOW=513 RES=0x00 ACK URGP=0