Titre

Logger l'ensemble du trafic bloqué par IpTables

Voir l'ensemble des paquets droppés par le firewall IpTables sous Linux

De base le trafic d'IpTables n'est pas consigné dans un log.
Pour que cela soit en place il faut explicitement le demander.
En général on configure IpTables pour qu'il bloque le trafic sauf règle contraire.

Pour notre besoin, l'opération consiste à placer une règle qui log le trafic après toutes les autres, soit celles qui autorisent les flux.
Cette règle ne concerne que le flux entrant.
Si ce trafic apparaît dans le log, c'est donc qu'il a été supprimé.
Notez que l'on va préfixer les lignes avec 'iptables:' afin de facilement les retrouver parmi les autres.

Tapez cette commande :

Lien vers le fichier : cliquez ici

En addition, si vous voulez filtrer sur un sous-réseau particulier, comme 192.168.1.0/24, et analyser uniquement la table des transferts, vous pouvez taper

Lien vers le fichier : cliquez ici

On va maintenant regarder la table des règles de blocage en entrée.
Pour cela tapez :

Lien vers le fichier : cliquez ici

On voit ici que la règle a bien été ajoutée après toutes les autres et qu'elle est ici en ligne numéro 10 :

Attention le fait de logger tout le traffic bloqué peut générer une surcharge du CPU et ralentir fortement votre machine :

Suite à cela pour voir les logs en temps réel, tapez :

Lien vers le fichier : cliquez ici

Si vous voulez supprimer la règle que vous venez de taper, il faut le numéro de la ligne où cette règle se situe. Dans l'exemple précédent la règle étant en ligne 10, on va donc taper ceci pour la supprimer :

Lien vers le fichier : cliquez ici