简易防火墙建置与流量统计(7)

5.6 log 记录 /var/log/message

若你有加上’-l’选项的话，关于 ipchains 的讯息会被记录在 /var/log/message 档案中，在标准的 Linux 系统上，kernel 的输出讯息经由 klogd(kernel logging daemon)所记录。其中的记录为：

Jul 18 11:38:28 www kernel: Packet log: input REJECT eth0 PROTO=1
(1) (2) (3) (4) (5) (6) (7) (8)
192.168.1.3:8 192.168.1.1:0 L=60 S=0x00 I=7476 F=0x0000 T=32
(9) (10) (11) (12) (13) (14) (15)

ipchains记录：

(1) 日期、时间
(2) 主机名称
(3) 使用 kernel 来记录
(4) 指出从 ipchains 产生讯息
(5) 所使用的规则：input
(6) 规则的目标：REJECT
(7) 封包所经过的网络卡界面：eth0
(8) 协定号码：1(ICMP)、6(TCP)、17(UDP)
(9) 来源 IP 位址和 port
(10) 目的地 IP 位址和 port
(11) 封包的长度
(12) TOS(Type of service)
(13) IP 的 ID
(14) 资料段偏移(重新组合资料段封包)
(15) 封包的 TTL(Time to live)

6. ipchains的范例

在这里要提醒使用者，千万不要用远端登入来使用ipchains，因为常会不小心就把自个儿给关在房外，进不了家，有时候为了要测试关掉 telnet 的功能，就这样连自己也 telnet 不进去了，当然跑到主机前去修改是免不了的事。

关闭所有的服务：

基于安全的理由，我们要把所有对内、对外的窗口给统统关闭起来，执行下列指令将会将进入、输出、转送封包的预设政策设为拒绝，这一步最好放在你最后的时候再来做，因为如果先设了所有 DENY 的规则，则后来设的 ACCEPT 规则会被先前的 DENY 给取代。

ipchains -P input DENY
ipchains -P forward DENY
ipchains -P output DENY

启动虚拟 IP 的伪装服务：

将内部虚拟 IP192.168.0.0 ~ 255 启动 IP 封包转送到外界的网络，使之可以连到外界的任何地方去。

ipchains -A forward -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQ

7. 使用ipchains-save、ipchains-restore 储存设定值

ipchains 有二支程序去储存、反存我们所设的规则，ipchains-save 可以储存一个或所有的规则，它是指令档，会先去读取 ipchains 的设定档并且储存成档案起来，使用时可以加入 -v 参数，列出详细的动作。

范例：

ipchains-save -v > filename

结果：

若要恢复ipchains规则，执行下面指令