iptables를 이용한 네트워크 모니터링

 

# iptables -I INPUT 1 -p tcp --dport 22 --syn -j LOG

iptables -A INPUT -m state --state NEW,RELATED -p tcp --dport 22 -j ACCEPT

 

확인한다.

service iptables save && service iptables reload

iptables -nL --line-numbers

첫줄에 LOG 기록있는 것 확인

첫줄 마지막 level 4 는 보안 레벨중 warn 의미하고 warn (level 4) 까지는 작동가능하다.

 

다른 node 가 외부에서 ssh 를 통해 들어올때 이렇게 LOG 를 기록하게 하는 것을 알고있자.

 

 

tail -f 명령어로 messages 를 실시간으로 보게한다.

 

외부에서 접속한다.

 

다시 돌아와 확인하면

SRC ~.131이 DST (나) 한테 접속한 정보 확인 가능

IN interface

MAC 주소가 긴 이유는 송신자6개, 수신자6개, protocoltype 이 같이 나왔기 때문이다

문자 하나가 8bit 이니 48bit 이니, 6

 

ㅁ마지막 08:00 은 ipv8 이다

 

flush (갱신) 기존 설정 버린다

 

LOG에 접두사를 붙이는 옵션 추가

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j LOG --log-prefix "ACCEPTED-SSH"
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

 

 

 

service restart

 

다른 머신에서 한 번더 접속한다

 

다시 돌아와 확인한다

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j LOG --log-prefix "ACCEPTED-SSH"