Zapisivanje svih aktivnosti pomoću iptables

IptablesPo defaultu ima pravilo filtra u režimu "Prihvati sve", odnosno pušta i isključuje sve veze sa ili na naš računar, ali šta ako želimo evidentirati sve informacije o vezama uspostavljenim na našim serverima ili računarima?

 

 

Napomena: Procedura koju ću sada izvršiti vrijedi 100% u distribucijama Debian/Zasnovan na Debianu, pa ako koristite Slackware, fedora, CentOS, OpenSuSe, postupak možda nije isti, preporučujemo da pročitate i razumijete sistem za prijavu vaše distribucije prije primjene onoga što je objašnjeno u nastavku. Također postoji mogućnost instaliranja rsyslog-a u vašu distribuciju, ako je dostupan u spremištima, iako je u ovom vodiču syslog također objašnjen na kraju.

Zasad sve dobro, ali štaGdje ćemo se prijaviti? Lako, u datoteci «/var/log/firewall/iptables.log", šta ne postoji, dok sami ne povjerujemo ...

1- Moramo stvoriti datoteku «iptables.log»Unutar fascikle«/ var / log / firewall»Da ga moramo stvoriti, jer ni on ne postoji.

mkdir -p / var / log / firewall /
dodirnite /var/log/firewall/iptables.log

2- Dozvole, vrlo važne ...

chmod 600 /var/log/firewall/iptables.log
korijen chown: adm /var/log/firewall/iptables.log

3- Rsyslog, Debian prijavni demon, čita konfiguraciju iz «/etc/rsyslog.d«, Pa moramo stvoriti datoteku koju ću nazvati«firewall.conf»Iz kojeg rsyslog može protumačiti ono što želimo učiniti.

dodirnite /etc/rsyslog.d/firewall.conf

A unutra ga ostavljamo caer nježno slijedeći sadržaj:

: msg, sadrži, "iptables:" - / var / log / firewall / iptables.log
& ~

Nemam ni najmanje ideje,šta rade ovih nekoliko linija?

Prva linija provjerava evidentirane podatke za niz «iptables: »I dodaje u datoteku«/var/log/firewall/iptables.log«

Drugi, zaustavlja obradu podataka prijavljenih sa prethodnim uzorkom, tako da se ne nastavljaju slati na «/ var / log / messages".

4- Rotiranje datoteke dnevnika, sa postignuto.

Moramo stvarati unutar «/etc/logrotate.d/" fajl "firewall»Koji će sadržati sljedeći sadržaj:

/var/log/firewall/iptables.log
{
rotirati 7
svakodnevno
veličina 10M
dateext
missingok
stvoriti 600 root adm
notifempty
kompresovati
delaycompress
postrotate
invoke-rc.d rsyslog ponovno učitavanje> / dev / null
ENDScript
}

Da bi se dnevnici rotirali 7 puta prije nego što ih izbrišete, 1 put dnevno, maksimalne veličine dnevnika 10MB, komprimirano, datirano, bez davanja greške ako dnevnik ne postoji, stvoren kao root.

5- Ponovo pokrenite, kao i svi sretni završeci xD, demon rsyslog:

/etc/init.d/rsyslog ponovno pokretanje

Kako dokazati da sve to funkcionira?

Pokušajmo sa SSH.

Instalacija OpenSSH (u slučaju da ga nemaju instaliranog ...):

apt-get install openssh-server

Prije nastavka moramo pokrenuti kao root u konzoli:

iptables -A INPUT -p tcp --dport 22 --syn -j LOG --log-prefix "iptables: " --log-level 4

Pokretanje ove izjave iptables evidentirat će dovoljno podataka da pokaže da ono što smo učinili nije uzalud. U ovoj rečenici kažemo iptablesu da evidentira sve informacije koje do njih dođu putem porta 22. Da biste testirali s drugim uslugama, samo promijenite broj porta, poput 3306 za MySQL, samo da navedemo primjer, ako želite više informacija, pročitajte ovaj vrlo dobro dokumentovan vodič i na osnovu tipičnih primjera najčešće korištenih konfiguracija.

SSH po defaultu koristi port 22, pa ćemo testirati s njim. Instalirajući openssh, povezujemo se s njim.

ssh pepe @ test-server

Da biste vidjeli trupce, rešite ovaj problem repom:

tail -f /var/log/firewall/iptables.log

Iptables, u ovom primjeru, bilježe sve, dan, vrijeme, ip, mac itd., Što ga čini izvrsnim za nadgledanje naših servera. Mala pomoć koja nikad ne škodi.

Uzimajući u obzir da koristimo još jedan distro, kao što sam rekao na početku, on se uglavnom koristi rsyslog, ili nešto slično. Ako vaš distro koristi syslog, da bismo izveli istu vježbu moramo malo urediti / izmijeniti syslog.conf

nano /etc/syslog.conf

Dodajte i spremite sljedeći redak:

kern.warning /var/log/firewall/iptables.log

A onda, znate, sretan kraj:

/etc/init.d/sysklogd ponovno pokretanje

Rezultat: isti.

To je za sada sve, u budućim objavama nastavit ćemo se igrati s iptablesima.

Reference:

Prisilite iptables da se prijave u drugu datoteku

Prijavite iptables u zasebnu datoteku pomoću rsyslog

Vodič za konfiguraciju Iptables na Fedora / RHEL sistemima


Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

8 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   FerreryGuardia rekao je

    Super ovaj «mini-priručnik» za BOFH koji radite malo po malo

  2.   Koratsuki rekao je

    Hvala vam, malo po malo daću detalje i podatke o prilagodljivim komponentama, koje sam morao znati iz svog rada, a koji su nam ponekad potrebni i vrlo su slabo objašnjeni na Internetu, a sve od korisnika ... xD

    1.    KZKG ^ Gaara rekao je

      Koristim priliku da vam poželim dobrodošlicu članu 😀
      Zaista imate MNOGO da doprinesete, imate zaista napredno znanje o mrežama, sistemima, zaštitnim zidovima itd., Tako da ću biti (već sam) jedan od mnogih čitatelja koje ćete imati hahaha.

      Pozdrav i pa ... znate, sta god treba 😀

    2.    isar rekao je

      Radujem se tim stavkama ^^

  3.   hugo rekao je

    Hajde Koratsuki, nisam znao da si posjetio ovaj blog.

    Inače, druga varijanta evidentiranja aktivnosti vatrozida koristi paket ulogd, koji su napravili ljudi iz projekta netfilter kako bi se olakšalo odvajanje ove vrste tragova (omogućava njihovo spremanje na različite načine). To je pristup koji obično koristim. Korištenje je jednostavno, na primjer:

    iptables -A INPUT -p udp -m multiport ! --ports 53,67:68 -m state --state NEW -j ULOG --ulog-prefix "Solicitud UDP dudosa"

  4.   Koratsuki rekao je

    Morat ću dati postu F5, odgovara mi Ulogd način rada, čak i MySQL zapisuje tip: D.

  5.   MSX rekao je

    Dobar post, nastavi tako.

  6.   chinoloco rekao je

    Zdravo šefe, kako ide?
    Možete li mi pomoći?
    Budući da ne dobivam tutorial i bistriji je od vode, ne znam gdje griješim