iptablesPo defaultu ima pravilo filtra u režimu "Prihvati sve", odnosno pušta i isključuje sve veze sa ili na naš računar, ali šta ako želimo evidentirati sve informacije o vezama uspostavljenim na našim serverima ili računarima?
Napomena: Procedura koju ću sada izvršiti vrijedi 100% u distribucijama Debian/Zasnovan na Debianu, pa ako koristite Slackware, fedora, CentOS, OpenSuSe, postupak možda nije isti, preporučujemo da pročitate i razumijete sistem za prijavu vaše distribucije prije primjene onoga što je objašnjeno u nastavku. Također postoji mogućnost instaliranja rsyslog-a u vašu distribuciju, ako je dostupan u spremištima, iako je u ovom vodiču syslog također objašnjen na kraju.
Zasad sve dobro, ali štaGdje ćemo se prijaviti? Lako, u datoteci «/var/log/firewall/iptables.log", šta ne postoji, dok sami ne povjerujemo ...
1- Moramo stvoriti datoteku «iptables.log»Unutar fascikle«/ var / log / firewall»Da ga moramo stvoriti, jer ni on ne postoji.
mkdir -p / var / log / firewall /
dodirnite /var/log/firewall/iptables.log
2- Dozvole, vrlo važne ...
chmod 600 /var/log/firewall/iptables.log
korijen chown: adm /var/log/firewall/iptables.log
3- rsyslog, Debian prijavni demon, čita konfiguraciju iz «/etc/rsyslog.d«, Pa moramo stvoriti datoteku koju ću nazvati«firewall.conf»Iz kojeg rsyslog može protumačiti ono što želimo učiniti.
dodirnite /etc/rsyslog.d/firewall.conf
A unutra ga ostavljamo caer nježno slijedeći sadržaj:
: msg, sadrži, "iptables:" - / var / log / firewall / iptables.log
& ~
Nemam ni najmanje ideje,šta rade ovih nekoliko linija?
Prva linija provjerava evidentirane podatke za niz «iptables: »I dodaje u datoteku«/var/log/firewall/iptables.log«
Drugi, zaustavlja obradu podataka prijavljenih sa prethodnim uzorkom, tako da se ne nastavljaju slati na «/ var / log / messages".
4- Rotiranje datoteke dnevnika, sa postignuto.
Moramo stvarati unutar «/etc/logrotate.d/" fajl "firewall»Koji će sadržati sljedeći sadržaj:
/var/log/firewall/iptables.log
{
rotirati 7
svakodnevno
veličina 10M
dateext
missingok
stvoriti 600 root adm
noteprazno
kompresovati
delaycompress
porotirati
invoke-rc.d rsyslog ponovno učitavanje> / dev / null
ENDScript
}
Da bi se dnevnici rotirali 7 puta prije nego što ih izbrišete, 1 put dnevno, maksimalne veličine dnevnika 10MB, komprimirano, datirano, bez davanja greške ako dnevnik ne postoji, stvoren kao root.
5- Ponovo pokrenite, kao i svi sretni završeci xD, demon rsyslog:
/etc/init.d/rsyslog ponovno pokretanje
Kako dokazati da sve to funkcionira?
Pokušajmo sa SSH.
Instalacija OpenSSH (u slučaju da ga nemaju instaliranog ...):
apt-get install openssh-server
Prije nastavka moramo pokrenuti kao root u konzoli:
iptables -A INPUT -p tcp --dport 22 --syn -j LOG --log-prefix "iptables: " --log-level 4
Pokretanje ove izjave iptables evidentirat će dovoljno podataka da pokaže da ono što smo učinili nije uzalud. U ovoj rečenici kažemo iptablesu da evidentira sve informacije koje do njih dođu putem porta 22. Da biste testirali s drugim uslugama, samo promijenite broj porta, poput 3306 za MySQL, samo da navedemo primjer, ako želite više informacija, pročitajte ovaj vrlo dobro dokumentovan vodič i na osnovu tipičnih primjera najčešće korištenih konfiguracija.
SSH po defaultu koristi port 22, pa ćemo testirati s njim. Instalirajući openssh, povezujemo se s njim.
ssh pepe @ test-server
Da biste vidjeli trupce, rešite ovaj problem repom:
tail -f /var/log/firewall/iptables.log
Iptables, u ovom primjeru, bilježe sve, dan, vrijeme, ip, mac itd., Što ga čini izvrsnim za nadgledanje naših servera. Mala pomoć koja nikad ne škodi.
Uzimajući u obzir da koristimo još jedan distro, kao što sam rekao na početku, on se uglavnom koristi rsyslog, ili nešto slično. Ako vaš distro koristi syslog, da bismo izveli istu vježbu moramo malo urediti / izmijeniti syslog.conf
nano /etc/syslog.conf
Dodajte i spremite sljedeći redak:
kern.warning /var/log/firewall/iptables.log
A onda, znate, sretan kraj:
/etc/init.d/sysklogd ponovno pokretanje
Rezultat: isti.
To je za sada sve, u budućim objavama nastavit ćemo se igrati s iptablesima.
Reference:
Prisilite iptables da se prijave u drugu datoteku
Prijavite iptables u zasebnu datoteku pomoću rsyslog
Vodič za konfiguraciju Iptables na Fedora / RHEL sistemima
Super ovaj «mini-priručnik» za BOFH koji radite malo po malo
Hvala vam, malo po malo daću detalje i podatke o prilagodljivim komponentama, koje sam morao znati iz svog rada, a koji su nam ponekad potrebni i vrlo su slabo objašnjeni na Internetu, a sve od korisnika ... xD
Koristim priliku da vam poželim dobrodošlicu članu 😀
Zaista imate MNOGO da doprinesete, imate zaista napredno znanje o mrežama, sistemima, zaštitnim zidovima itd., Tako da ću biti (već sam) jedan od mnogih čitatelja koje ćete imati hahaha.
Pozdrav i pa ... znate, sta god treba 😀
Radujem se tim stavkama ^^
Hajde Koratsuki, nisam znao da si posjetio ovaj blog.
Inače, druga varijanta evidentiranja aktivnosti vatrozida koristi paket ulogd, koji su napravili ljudi iz projekta netfilter kako bi se olakšalo odvajanje ove vrste tragova (omogućava njihovo spremanje na različite načine). To je pristup koji obično koristim. Korištenje je jednostavno, na primjer:
iptables -A INPUT -p udp -m multiport ! --ports 53,67:68 -m state --state NEW -j ULOG --ulog-prefix "Solicitud UDP dudosa"
Morat ću dati postu F5, odgovara mi Ulogd način rada, čak i MySQL zapisuje tip: D.
Dobar post, nastavi tako.
Zdravo šefe, kako ide?
Možete li mi pomoći?
Budući da ne dobivam tutorial i bistriji je od vode, ne znam gdje griješim