Pour faciliter les filtrages tu peux utiliser une règle firewall qui va ajouter une règle LOG en fin des ACCEPT et donc avant le REJECT
Pour cela il faut créer un fichier /etc/sysconfig/log_iptables (ou un autre nom) qui contiendra :
-A INPUT -j LOG --log-level info --log-prefix iptables
puis ajouter ce fichier dans les régles personnalisées. de system-config-firewall et le mettre toujours à la fin des fichiers personnalisés s'il y en a déjà.
cela devrait donner avec
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT udp -- anywhere anywhere state NEW udp dpt:netbios-ns
ACCEPT udp -- anywhere anywhere state NEW udp dpt:netbios-dgm
...............
......................
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http
LOG all -- anywhere anywhere LOG level info prefix `iptables'
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
cela va permettre d'enregistrer dans /var/log/messages des lignes faciles à filtrer
grep iptables /var/log/messages
ou en éliminant des informations souvent redondantes
grep iptables /var/log/messages | sed -e 's/MAC[^ ]*//' | sed -e 's/localhost kernel: iptables//'
Exemple d'une tentative de connexion ssh alors que le port 22 est fermé
Jul 3 11:04:29 IN=eth0 OUT= SRC=192.168.1.101 DST=192.168.1.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=46842 DF PROTO=TCP SPT=41505 DPT=22
Si tu tiens à être alerté d'un augmentation du nombre de lignes iptables dans /var/log/messages il est possible de faire cela avec un cron qui enverrait un courriel, ou un plugin nagios, logwatch, ....
Il est toujours intéressant de voir le nombre de tentatives (malicieuses?, malintentionnées) sur ses machines.
.