Titre

Voir le journal des blocages d'un firewall IpTables

Visualiser les logs de blocage d'un pare-feu IpTables

Pour voir les logs d'IpTables, par défaut il faut regarder dans /var/log/messages
Pour voir l'activité de ce fichier en temps réel utilisez la commande

Lien vers le fichier : cliquez ici

Suivant les distributions, comme pour Ubuntu V14, il ne faudra pas lire /var/log/messages mais

Lien vers le fichier : cliquez ici

Et si jamais vous voulez filtrer le contenu des logs sur un mot clé que vous auriez préalablement paramétré dans votre règles, ce mot clé pouvant être iptables:

Tapez :

Lien vers le fichier : cliquez ici

Notez que de base iptables ne génère pas de log. Il faut explicitement le demander.
D'un autre côté logger tout le trafic va générer un log d'une taille conséquente et cela peut planter une petite machine exposée directement sur le web.

Maintenant, si votre IpTables est configuré par défaut pour bloquer les paquets entrant, pour voir tous ceux qui vont être supprimés, ajoutez cette règle qui se mettra en fin de liste. Les messages seront préfixés avec iptables:

Lien vers le fichier : cliquez ici

Pour savoir comment est réglée votre police par défaut, tapez :

Lien vers le fichier : cliquez ici

Dans l'exemple ci-dessous, on accepte tout par défaut, ce qui n'est pas conseillé :

Notez que vous pouvez créer une chaîne personnalisée, ce qui vous permettra ET de logger ET d'autoriser votre traffic.
Vous pourrez également préfixer préfixer les messages dans le journal de log avec 'iptables:' avec ce type de commande :

Lien vers le fichier : cliquez ici

Ensuite quand vous voudrez autoriser un flux comme celui de SSH (port 22), au lieu de mettre -j ACCEPT vous mettrez :

Lien vers le fichier : cliquez ici

Vous pourrez alors analyser en temps réel le journal de log (/var/log/syslog pour Ubuntu) en filtrant sur le préfixe 'iptables:'
Pour cela vous utiliserez la commande

Lien vers le fichier : cliquez ici

Et quand une personne se connectera en SSH, vous verrez cela :

Pages Web

Site WebDescription
Ubuntuforums.orgPost de forum où j'ai vu l'astuce de la création de la chaîne personnalisée