Prikazivanje iptables dnevnika u zasebnoj datoteci sa ulogd

Nije prvi put da pričamo o tome iptables, već smo ranije spomenuli kako se prave pravila iptables se automatski implementiraju kada pokrenete računar, mi takođe objašnjavamo šta osnovno / srednje nad iptablesi nekoliko drugih stvari 🙂

Problem ili smetnja koju mi ​​koji volimo iptables uvijek pronađemo je taj što su iptables evidencije (odnosno podaci o odbijenim paketima) prikazani u dmesg, kern.log ili syslog datotekama / var / log /, ili Drugim riječima, u ovim datotekama nisu prikazane samo informacije o iptables, već i puno drugih informacija, čineći pomalo dosadnim gledanje samo informacija koje se odnose na iptables.

Maloprije smo vam pokazali kako preuzmite zapisnike iz iptables u drugu datotekuMeđutim ... moram priznati da mi je osobno ovaj proces pomalo složen ^ - ^

Dakle, Kako do dnevnika iptables doći u zasebnu datoteku i učiniti ga što jednostavnijim?

Rješenje je: ulogd

ulogd to je paket koji smo instalirali (en Debian ili derivati ​​- »sudo apt-get install ulogd) i poslužit će nam upravo za ovo što sam vam upravo rekao.

Da biste ga instalirali, potražite paket ulogd u njihovim repoima i instaliraju ga, tada će im se dodati demon (/etc/init.d/ulogd) pri pokretanju sistema, ako koristite bilo koji distributer KISS-a ArchLinux treba dodati ulogd na odjeljak demona koji započinju sa sistemom u /etc/rc.conf

Jednom kada ga instaliraju, moraju dodati sljedeći redak u skriptu pravila iptables:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Zatim ponovo pokrenite skriptu pravila iptables i voila, sve će raditi 😉

Potražite zapisnike u datoteci: /var/log/ulog/syslogemu.log

U ovoj datoteci koju spominjem je gdje ulogd po defaultu locira odbačene zapisnike paketa, međutim ako želite da ona bude u drugoj datoteci, a ne u ovoj, možete izmijeniti red # 53 u /etc/ulogd.conf, oni samo promijene put datoteke koja pokazuje tu liniju, a zatim ponovno pokrenu demon:

sudo /etc/init.d/ulogd restart

Ako pažljivo pogledate tu datoteku, vidjet ćete da postoje mogućnosti čak i spremanja dnevnika u MySQL, SQLite ili Postgre bazu podataka, zapravo su primjeri konfiguracijskih datoteka u / usr / share / doc / ulogd /

Ok, iptables zapisnike već imamo u drugoj datoteci, kako ih sada prikazati?

Za ovo jednostavno mačka bilo bi dovoljno:

cat /var/log/ulog/syslogemu.log

Zapamtite, evidentirat će se samo odbijeni paketi, ako imate web server (port 80) i ako su iptables konfigurirani tako da svi mogu pristupiti ovoj web usluzi, evidencije povezane s tim neće biti spremljene u zapisnike, bez obzira na to ako ih imaju SSH uslugu i putem iptables-a su konfigurirali pristup portu 22 tako da omogućava samo određenu IP adresu, u slučaju da bilo koja IP adresa koja nije izabrana pokuša pristupiti 22, to će biti spremljeno u dnevnik.

Ovdje ću vam pokazati primjer linije iz mog dnevnika:

4. marta 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 PROZOR = 0 SYN URGP = XNUMX

Kao što vidite, datum i vrijeme pokušaja pristupa, sučelje (wifi u mom slučaju), MAC adresa, izvorna IP adresa pristupa kao i odredišna IP adresa (moja) i nekoliko drugih podataka među kojima je i protokol (TCP ) i odredišni port (22) su pronađeni. Da rezimiramo, u 10:29, 4. marta, IP 10.10.0.1 je pokušao pristupiti portu 22 (SSH) mog laptopa kada je (to jest, moj laptop) imao IP 10.10.0.51, sve to putem Wi-Fi-ja (wlan0)

Kao što vidite ... zaista korisne informacije 😉

U svakom slučaju, mislim da se nema puno više za reći. Ja nisam daleko stručnjak za iptables ili ulogd, ali ako netko ima problema s tim, neka me obavijesti i pokušat ću im pomoći

Pozdrav 😀


Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

9 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   renelopez91 rekao je

    https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
    Sjećam se da sam ih s tim člankom počeo pratiti .. hehe ..

    1.    KZKG ^ Gaara rekao je

      Hvala, čast što ste mi učinili 😀

  2.   dhunter rekao je

    ulogd je to samo za iptables ili je općenito? omogućava postavljanje kanala? prijavljivanje putem mreže?

    1.    KZKG ^ Gaara rekao je

      Vjerujte da je to samo za iptable, međutim, dajte mu 'man ulogd' da se riješi sumnji.

      1.    dhunter rekao je

        U pravu ste: "ulogd - Demontiranje dnevnika korisničkog prostora Netfiltera"

  3.   MSX rekao je

    +1, sjajno artikulirano!

    1.    KZKG ^ Gaara rekao je

      Hvala, poticaj od vas koji niste jedan od onih koji najviše laskaju znači puno

      1.    MSX rekao je

        To ne znači da znam više od bilo koga, već da sam mrzovoljan xD
        Hvala još jednom na postu, pozivajući se na drugi članak o krizi u hispanskoj linux blogosferi, ovaj vaš post - govoreći o tehničkim objavama - upravo je vrsta posta potrebna na španskom / kastiljskom jeziku.
        Kvalitetni tehnički postovi poput ovog, sysadmina, uvijek su dobrodošli i idu direktno u favorite 8)

        1.    KZKG ^ Gaara rekao je

          Da, istina je da su potrebni tehnički članci ... Ne zamaram se to govoriti, zapravo već sam o tome ovdje govorio » https://blog.desdelinux.net/que-aporta-realmente-desdelinux-a-la-comunidad-global/

          U svakom slučaju, hvala još jednom ... Pokušat ću ostati takav sa tehničkim objavama 😀

          Saludos