Добрый день, коллеги. Сижу вот в праздники на работе и вдруг мне в голову пришла идея чем бы себя занять на следующие несколько недель до отпуска. Хочу логировать исходящие (на 80 и 443 порты) пакеты из локалки в эти наши энторнэты.
Настроил rsyslog с logrotate на запись логов в отдельный файл, теперь вопрос в том, как бы получать только то, что нужно. Прописав в iptables правило -A OUTPUT -o iflocal -j LOG у меня вылезает слишком много разной грязи.
Начал думать над правилом, понаписал в правилах своей отсебятины. Получаю в логе сообщения только о пакетах, идущих на айпишник гугла. Где же остальные, напрашивается вопрос.
Вообще имеются интерфейсы em1(local) и em2(inet), а таблица представляет из себя следующее:
*filter :INPUT DROP [184:18545] :FORWARD DROP [0:0] :OUTPUT ACCEPT [4151:1853799] Правила INPUT по интерфейсам Правила OUTPUT по интерфейсам ниже засунул свое -A OUTPUT -o em2 -p tcp --dport 80 -j LOG --log-level info --log-prefix «iptables: » Правила INPUT -j ACCEPT Правила FORWARD -j ACCEPT *nat :PREROUTING ACCEPT [378:102197] :POSTROUTING ACCEPT [72:7116] :OUTPUT ACCEPT [62:6600] Куча PREROUTING правил Еще больше POSTROUTING -A POSTROUTING -s 192.168.0.0/24 -o em2 -j SNAT --to myextip -A POSTROUTING -s 192.168.1.0/24 -o em2 -j SNAT --to myextip добавил ниже -A POSTROUTING -s 192.168.0.0/24 -o em2 -p tcp --dport 80 -j LOG --log-level info --log-prefix «iptables: » -A POSTROUTING -s 192.168.1.0/24 -o em2 -p tcp --dport 80 -j LOG --log-level info --log-prefix «iptables: » COMMIT *mangle :FORWARD ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMITНа серваке так же лежит почтовик с веб-мордой, так что из локалки к нему через em1 цепляются.
Собственно, как лучше составить правило и в какую цепочку его засунуть, что б в лог попадали сообщения о соединении рабочих станций с веб-серверами через 80 и 443 порты?
