[FreeBSD] FreeBSD - PF Firewall (6)

看板FreeBSD作者ant.時間21年前 (2005/01/19 02:01)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串1/1

FreeBSD with Packet Filter(PF) Firewall - (6) ※ Logging PF 的 log 是由 pflogd 產生，所以必須啟動 pflogd，並指定產生之 log 檔位址。 #################### ### /etc/rc.conf ### #################### pflog_enable="YES" # 啟動 PFLOG pflog_logfile="/var/log/pflog" # PFLOG 紀錄檔的位置 pflog_flags="" # PFLOG 的參數 ※ 讀取 Log 檔 log 是用 tcpdump 的格式紀錄 # tcpdump -n -e -ttt -r /var/log/pflog 如果 log 由 bzip2 壓縮 # bzcat pflog.0.bz2 | tcpdump -n -e -ttt -r - 如果 log 由 gzip 壓縮 # zcat pflog.0.gz2 | tcpdump -n -e -ttt -r - 如果想要看即時流量 # tcpdump -n -e -ttt -i pflog0 ※ 截取 Log 檔截取 port 80 的紀錄 # tcpdump -n -e -ttt -r /var/log/pflog port 80 截取 port 80 且主機是 192.168.1.1 的紀錄 # tcpdump -n -e -ttt -r /var/log/pflog port 80 and host 192.168.1.1 截取 port 80 或 port 21 的紀錄 # tcpdump -n -e -ttt -r /var/log/pflog port 80 or port 21 截取網卡 fxp0 的紀錄 # tcpdump -n -e -ttt -r /var/log/pflog on fxp0 截取 inbound 且是 pass 的紀錄 # tcpdump -n -e -ttt -r /var/log/pflog inbound and action pass 截取 outbound 且是 block 的紀錄 # tcpdump -n -e -ttt -r /var/log/pflog outbound and action block ※ plog rotation 新版的 FreeBSD 已經預設將 pflog rotation 加入 /etc/newsyslog.conf ########################### ### /etc/newsyslog.conf ### ########################### /var/log/pflog 600 3 100 * JB /var/run/pflogd.pid 我是把它改成： /var/log/pflog 600 30 * @T00 JB /var/run/pflogd.pid Ref：http://www.openbsd.org/faq/pf/logging.html -- \||||||/ 「一直到中古時期結束之前，理性代表具備一種心智，能夠看 q ^ ^ p 出各種事物之間精神層次的關聯、在主體與客體之間的律動 ╰ 0 ╯ o 、微妙平衡或分配比率。」 </ 菠 \-/ - Seven Life Lessons of Chaos -- ※ Origin: SayYA 資訊站 <bbs.sayya.org> ◆ From: 61-224-77-69.dynamic.hinet.net