seguranca

alexrocha
(usa Debian)

Enviado em 02/11/2007 - 17:42h

tenho debian-etch com firewall iptables +/- kurumin-firewall com algumas modificacoes, gostaria de saber se tem como saber se teve tentativas de invasao ?

Diede
(usa Debian)

Enviado em 03/11/2007 - 16:27h

Pelo que me lembro, o firewall do kurumin (ou devo dizer: script de firewall), só "tampa" tudo, e libera só o tráfego que você permitir.
Você pode complementa-lo criando no iptables regras de log, como essas:

iptables -A INPUT -p tcp --dport 21 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: acesso FTP"

iptables -A INPUT -p tcp --dport 80 -i eth0 -j LOG --log-level 6 --log-prefix "FIREWALL: acesso HTTP"

(substitua eth0 pela sua interface que te liga à web)

Assim, é só dar um dmesg | grep -i "Firewall", e ver se alguém realmente tentou acessar essas portas (no caso, 21 e 80). Acho que deve ter um jeito mais prático pra isso (de não ter que criar regras de log para cada porta), mas esse é o único método que conheço...