PF Logging

4 Apr

Membaca Log

Membaca log pada packet filter dilakukan dengan :

# Tcpdump-n-e-ttt-i pflog0

Untuk membaca packet yang keluar (outbound) dari internal interface.
# Tcpdump-n-e-ttt-r / var / log / pflog port 80
# Tcpdump-n-e-ttt-r / var / log / pflog port 80 dan host 192.168.1.3

atau

# Tcpdump-n-e-ttt-i pflog0 host 192.168.4.2

Membuat Packet Logging Melalui Syslog

Dalam berbagai situasi kita menginginkan log firewall dalam format ASCII dan / atau untuk mengirimnya ke server logging tertentu.

Semua ini dapat dicapai dengan membuat script shell sederhana, beberapa perubahan kecil dari file konfigurasi OpenBSD, dan syslogd (8) , daemon logging. Log syslogd dalam ASCII dan juga dapat login ke server logging.

Buat script berikut:

/etc/pflogrotate

#!/bin/sh
PFLOG=/var/log/pflog
FILE=/var/log/pflog5min.$(date “+%Y%m%d%H%M”)
pkill -ALRM -u root -U root -t – -x pflogd
if [ -r $PFLOG ] && [ $(stat -f %z $PFLOG) -gt 24 ]; then
mv $PFLOG $FILE
pkill -HUP -u root -U root -t – -x pflogd
tcpdump -n -e -s 160 -ttt -r $FILE | logger -t pf -p local0.info
rm $FILE
fi

Mengedit cron root:

# Crontab-u root-e

Tambahkan dua baris berikut:

# Rotasi file log pf setiap 5 menit
0-59/5 **** / bin / sh / etc / pflogrotate
Tambahkan baris berikut ke / etc / syslog.conf:

local0.info / var / log / pflog.txt

Jika Anda juga ingin login ke server remote log, tambahkan baris:

local0.info @ syslogger

Memastikan host syslogger telah didefinisikan dalam host (5) file.

Buat file / var / log / syslog pflog.txt untuk memungkinkan untuk login ke file tersebut, dan memberikan izin yang sama seperti file pflog.

# Touch / var / log / pflog.txt
# Chmod 600 / var / log / pflog.txt

Membuat syslogd melihat perubahan dengan restart itu:

# Kill-HUP $ (cat / var / run / syslog.pid)

Semua paket login sekarang dikirim ke / var / log / pflog.txt.
Jika baris kedua ditambahkan mereka dikirim ke syslogger host logging.

Script / etc / pflogrotate sekarang proses dan kemudian menghapus / var / log / pflog sehingga rotasi pflog oleh newsyslog (8) tidak lagi diperlukan dan harus dinonaktifkan.

Namun, / var / log / pflog.txt menggantikan / var / log / pflog dan rotasi itu harus diaktifkan. Perubahan / etc / newsyslog.conf sebagai berikut:

# / Var / log / pflog 600 3 250 * ZB “pkill-HUP-u root-U akar-t – x pflogd”
/ Var / log / pflog.txt 600 7 * 24

PF sekarang akan login ASCII ke / var / log / pflog.txt. Jika demikian dikonfigurasi di / etc / syslog.conf, juga akan login ke server remote. Penebangan tidak langsung tetapi bisa memakan waktu hingga sekitar 5-6 menit (interval tugas cron) sebelum paket login muncul dalam file.

2 Tanggapan to “PF Logging”

  1. aries November 18, 2013 pada 3:51 pm #

    maaf masih newbie,mau tanya ya.cara setting ato install PF pada openbsd bagaimna ya?
    mohon pencerahan

    • pfzones November 19, 2013 pada 1:53 am #

      Untuk mengaktifkan PF (Packet Filter) tentu harus menginstall OpenBSD nya terlebih dahulu.
      1. Download OpenBSD terbaru atau di http://openbsd.org/
      atau di http://mirrors.nycbug.org/pub/OpenBSD/5.4/ pilih i386 atau amd64 kemudian pilih file cdemu54.iso
      2 Kalo mau mudah (untuk percobaan saja) pakai vmware workstation. cara termudah adalah hanya tinggal klik next next sambil dibaca keterangannya.
      3. setelah instalasi selesai
      – lewat command buat folder echo >> /etc/rc.conf.local
      – lewat command pakai vi editor atau lewat winscp tinggal buat ruler di /etc/pf.conf
      – lewat command pakai vi edito atau winscp /etc/sysctl.conf enable kan net.inet.ip.forwarding=1
      ddb.panic=0
      atau bisa juga dilihat di ftp://ftp3.usa.openbsd.org/pub/OpenBSD/doc/pf-faq.txt

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s