|
|
EnderUNIX İpucuArkadaşıma gönder , Ana Sayfa[ PF ] "OpenBSD PF Loglama Mekanizması" - Huzeyfe Önal - (2005-03-14 14:17:36) [664] OpenBSD PF loglama mekanizması pflogd(8) aracılığı ile calisir. pflogd, pflog0 adlı sahte bir interface'i dinleyerek bu arabirim aracılığı ile paketleri loglar. Varsayılan log dosyası /var/log/pflog dır, bu dosyanın yeri/etc/rc.conf’ta pflogd_flags=”-f /var/log/yeni_log” belirterek değiştirilebilir. Bu dosya normal bir text dosya değildir, loglama işleminin daha performanslı olması için tcpdump uyumlu ikili dosya olarak oluşturulur. NOT: Firewall kurallarınızda statefull inspection özelliği kullanıyorsanız PF sadece duruma uyan ilk paketi loglayacaktır diğer paketleri es geçecektir, eğer duruma uyan tüm paketleri loglamak istersniz log yerine log-all kullanın. block in log-all on $ext_if gibi. Log dosyalarını okuma Log dosyalarının normal text editörleri aracılığı ile okunamayacağından bahsetmiştik , pf log dosyalarını okuyabilmek için genellikle tcpdump kullanılır. tcpdump aracılığı ile /var/log/pflog dosyasını okutursak PF'in logladığı paketleri görme imkanına sahip oluruz. #tcpdump -r /var/log/pflog fakat bu yöntem anlık logları görmemizi sağlamaz, anlık logları inceleyebilmek için tcpdump ile pflog0 arabirimi dinlememiz gerekir. #tcpdump -i pflog0 . Yukarıdaki örneklerde tcpdump'ın sadece gerekli parametreleri kullanılmıştır, tcpdup'ın detaylı kullanımı ile ilgili http://enderunix.org/docs/tcpdump.htm adresinden faydalanabilirsiniz. Bununla birlikte OpenBSD'nin sunduğu tcpdump aracı bazı ek özelliklere sahiptir bunlar; rulenum num - kural numarası action act -pakete uygulanan action pass ya da block olabilir inbound - giriş paketleri için. outbound - çıkış paketleri için. Örnek; # tcpdump -n -tt -i pflog0 outbound and action block and on em0 tcpdump: WARNING: pflog0: no IPv4 address assigned tcpdump: listening on pflog0 komutu ile em0 arabirimi üzerinden çıkan paketler arasında bloklanmış olanları görebiliriz. Not: PF'in loglarını syslog aracılığı ile uzak bir hosta gönderebilirsiniz aynı zamanda binary olarak değilde text halinde tutmasını sağlayabilirsiniz, detaylar için pf.faqq Arkadaşıma gönder , Ana Sayfa |
|