Iptables mostrar actividad?

Todo lo relacionado con hacer funcionar a Arch como servidor de lo que sea (pagina web, ftp, archivos, firewall & router, etc...).
Responder
Duende
Novato
Mensajes: 17
Registrado: 01 Sep 2013, 08:27

Iptables mostrar actividad?

Mensaje por Duende » 04 Sep 2013, 13:15

Hola a [email protected] esta vez vengo con una duda sobre como puedo configurar iptables para que muestre las direcciones IPS que visito en tiempo real y si puedo que se muestre en una TTY en log. No se si me explico con claridad, lo que quiero hacer es que me aparezcan los mensajes cada segundo o minuto y vea la actividad que pasa por mi equipo o las direcciones IPS que intentan acceder al mio. Saludos y gracias por responder.

Configuración iptables:

Código: Seleccionar todo


#(1) se eliminan reglas previas que hubiera y cadenas definidas por el usuario
iptables -F
iptables -X

# (2) se establecen politicas "duras" por defecto, es decir solo lo que se autorice
# explicitamente podra ingresar o salir del equipo
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# (3)a la interface lo (localhost) se le permite todo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# (4) evitamos ataques syn-flood limitando el acceso de paquetes nuevos
# desde internet a solo 4 por segundo y los demas se descartan
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j DROP

# (5) se evitan paquetes tcp que sean nuevos y que no tengan el flag SYN
# es decir, hay ataques o escaneos que llegan como conexiones nuevas
# pero sin ser paquetes syn, definitivamente no nos interesan
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

# (6) todo lo que sea icmp (ping) y que intente entrar, se descarta
# con esto bloqueamos cualquier tipo de paquetes con protocolo icmp
# evitando ataques como el del ping de la muerte, aunque esta regla
# podria provocar problemas de comunicacion con algunos ISP.
iptables -A INPUT -p icmp -j DROP

# (7) por ultimo las dos siguientes reglas permiten salir del equipo 
# (output) conexiones nuevas que nosotros solicitamos, conexiones establecidas
# y conexiones relacionadas, y deja entrar (input) solo conexiones establecidas
# y relacionadas.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

##(8) mostrar log en tiempo real
iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
iptables -A OUTPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
iptables -A  FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Responder