EnderUNIX Team.


EnderUNIX İpucu

Arkadaşıma gönder , Ana Sayfa

[ PF ]

"OpenBSD PF Loglama Mekanizması" - Huzeyfe Önal - (2005-03-14 14:17:36)   [4668]

OpenBSD PF loglama mekanizması pflogd(8) aracılığı ile calisir. pflogd, pflog0 adlı sahte bir interface'i dinleyerek bu arabirim aracılığı ile paketleri loglar. Varsayılan log dosyası /var/log/pflog dır, bu dosyanın yeri/etc/rc.conf’ta

pflogd_flags=”-f /var/log/yeni_log”

belirterek değiştirilebilir. Bu dosya normal bir text dosya değildir, loglama işleminin daha performanslı olması için tcpdump uyumlu ikili dosya olarak oluşturulur.

NOT: Firewall kurallarınızda statefull inspection özelliği kullanıyorsanız PF sadece duruma uyan ilk paketi loglayacaktır diğer paketleri es geçecektir, eğer duruma uyan tüm paketleri loglamak istersniz log yerine log-all kullanın.

block in log-all on $ext_if

gibi.

Log dosyalarını okuma

Log dosyalarının normal text editörleri aracılığı ile okunamayacağından bahsetmiştik , pf log dosyalarını okuyabilmek için genellikle tcpdump kullanılır. tcpdump aracılığı ile /var/log/pflog dosyasını okutursak PF'in logladığı paketleri görme imkanına sahip oluruz.

#tcpdump -r /var/log/pflog

fakat bu yöntem anlık logları görmemizi sağlamaz, anlık logları inceleyebilmek için tcpdump ile pflog0 arabirimi dinlememiz gerekir.

#tcpdump -i pflog0 .

Yukarıdaki örneklerde tcpdump'ın sadece gerekli parametreleri kullanılmıştır, tcpdup'ın detaylı kullanımı ile ilgili http://enderunix.org/docs/tcpdump.htm adresinden faydalanabilirsiniz. Bununla birlikte OpenBSD'nin sunduğu tcpdump aracı bazı ek özelliklere sahiptir bunlar;

rulenum num - kural numarası action act -pakete uygulanan action pass ya da block olabilir

inbound - giriş paketleri için.

outbound - çıkış paketleri için.

Örnek;

# tcpdump -n -tt -i pflog0 outbound and action block and on em0

tcpdump: WARNING: pflog0: no IPv4 address assigned

tcpdump: listening on pflog0

komutu ile em0 arabirimi üzerinden çıkan paketler arasında bloklanmış olanları görebiliriz.

Not: PF'in loglarını syslog aracılığı ile uzak bir hosta gönderebilirsiniz aynı zamanda binary olarak değilde text halinde tutmasını sağlayabilirsiniz, detaylar için pf.faqq

Arkadaşıma gönder , Ana Sayfa