[FreeBSD] FreeBSD - PF Firewall (6)

[或許…我不是我]

FreeBSD with Packet Filter(PF) Firewall - (6)

※ Logging

PF 的 log 是由 pflogd 產生，所以必須啟動 pflogd，並指定產生之 log 檔位址。

####################
### /etc/rc.conf ###
####################

pflog_enable="YES" # 啟動 PFLOG
pflog_logfile="/var/log/pflog" # PFLOG 紀錄檔的位置
pflog_flags="" # PFLOG 的參數

※ 讀取 Log 檔

log 是用 tcpdump 的格式紀錄
# tcpdump -n -e -ttt -r /var/log/pflog

如果 log 由 bzip2 壓縮
# bzcat pflog.0.bz2 | tcpdump -n -e -ttt -r -

如果 log 由 gzip 壓縮
# zcat pflog.0.gz2 | tcpdump -n -e -ttt -r -

如果想要看即時流量
# tcpdump -n -e -ttt -i pflog0

※ 截取 Log 檔

截取 port 80 的紀錄
# tcpdump -n -e -ttt -r /var/log/pflog port 80

截取 port 80 且主機是 192.168.1.1 的紀錄
# tcpdump -n -e -ttt -r /var/log/pflog port 80 and host 192.168.1.1

截取 port 80 或 port 21 的紀錄
# tcpdump -n -e -ttt -r /var/log/pflog port 80 or port 21

截取網卡 fxp0 的紀錄
# tcpdump -n -e -ttt -r /var/log/pflog on fxp0

截取 inbound 且是 pass 的紀錄
# tcpdump -n -e -ttt -r /var/log/pflog inbound and action pass

截取 outbound 且是 block 的紀錄
# tcpdump -n -e -ttt -r /var/log/pflog outbound and action block

※ plog rotation

新版的 FreeBSD 已經預設將 pflog rotation 加入 /etc/newsyslog.conf

###########################
### /etc/newsyslog.conf ###
###########################

/var/log/pflog 600 3 100 * JB /var/run/pflogd.pid

我是把它改成：
/var/log/pflog 600 30 * @T00 JB /var/run/pflogd.pid

Ref：http://www.openbsd.org/faq/pf/logging.html

--

\||||||/ 「一直到中古時期結束之前，理性代表具備一種心智，能夠看
q ^ ^ p 出各種事物之間精神層次的關聯、在主體與客體之間的律動
╰ 0 ╯ o 、微妙平衡或分配比率。 」
</ 菠 \-/ - Seven Life Lessons of Chaos
--
[1;32m※ Origin: [33mSayYA 資訊站 [37m<bbs.sayya.org> [m
[1;31m◆ From: [36m61-224-77-69.dynamic.hinet.net [m