Prikazivanje iptables dnevnika u zasebnoj datoteci sa ulogd

Nije prvi put da pričamo o tome iptables, već smo ranije spomenuli kako se pobrinuti da pravila iptables se automatski postavljaju kada pokrenete računar, objašnjavamo i šta basic/medium na iptables, i još nekoliko stvari 🙂

Problem ili smetnja sa kojom se oni od nas koji vole iptables uvijek susreću je to što se iptables logovi (tj. informacije o odbijenim paketima) prikazuju u dmesg, kern.log ili syslog fajlovima u /var/log/, ili To znači da u ovim datotekama se ne prikazuju samo informacije o iptables-u, već i mnogo drugih informacija, što čini pomalo zamornim vidjeti samo informacije vezane za iptables.

Malopre smo vam pokazali kako izvuci iptables logove u drugu datotekuMeđutim... Moram priznati da je meni lično ovaj proces pomalo složen. ^ - ^

Dakle, Kako izdvojiti iptables logove u zasebnu datoteku i učiniti ih što jednostavnijim?

Rješenje je: ulogd

ulogd To je paket koji mi instaliramo (en Debian ili derivati ​​-» sudo apt-get install ulogd) i poslužiće nam upravo za ono što sam vam upravo rekao.

Da biste ga instalirali koji već znate, potražite paket ulogd u njihovim reposima i instalirajte ga, tada će im biti dodan demon (/etc/init.d/ulogd) pri pokretanju sistema, ako koristite KISS distro like ArchLinux treba dodati ulogd na dio demona koji su pokrenuti sa sistemom u /etc/rc.conf

Nakon što ga instalirate, morate dodati sljedeći red u svoju iptables skriptu pravila:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Zatim ponovo pokrenite svoju iptables skriptu pravila i voila, sve će raditi 😉

Potražite zapise u datoteci sada: /var/log/ulog/syslogemu.log

U ovoj datoteci koju sam spomenuo je mjesto gdje ulogd po defaultu postavlja dnevnike odbijenih paketa, međutim ako želite da bude u drugom fajlu, a ne u ovom, možete izmijeniti red #53 u /etc/ulogd.conf, oni jednostavno mijenjaju putanju datoteke prikazanu tom linijom i zatim ponovo pokreću demona:

sudo /etc/init.d/ulogd restart

Ako pažljivo pogledate tu datoteku, vidjet ćete da postoje opcije čak i za spremanje dnevnika u MySQL, SQLite ili Postgre bazu podataka, u stvari, primjeri konfiguracijskih datoteka nalaze se u /usr/share/doc/ulogd/

Ok, već imamo iptables logove u drugoj datoteci, kako ih sada prikazati?

Za ovo jednostavno mačka bilo bi dovoljno:

cat /var/log/ulog/syslogemu.log

Zapamtite, samo odbijeni paketi će biti sačuvani u dnevnik. Ako imate web server (port 80) i konfigurisali ste iptables tako da svi mogu pristupiti ovom web servisu, dnevnici koji se odnose na ovo neće biti sačuvani u evidenciji, međutim Međutim, ako imaju SSH servis i preko iptables-a su konfigurisali pristup portu 22 tako da dozvoljava samo određeni IP, u slučaju da IP različit od odabranog pokuša pristupiti 22 onda će to biti sačuvano u logu.

Ovdje vam pokazujem primjer reda iz mog dnevnika:

Uto 4 22:29:02 exia IN=wlan0 OUT= MAC=00:19:d2:78:eb:47:00:1d:60:7b:b7:f6:08:00 SRC=10.10.0.1 DST=10.10.0.51 .60 LEN=00 TOS=0 PREC=00x64 TTL=12881 ID=37844 DF PROTO=TCP SPT=22 DPT=895081023 SEQ=0 ACK=14600 WINDOW=0 SYN URGP=XNUMX

Kao što vidite, prikazani su datum i vrijeme pokušaja pristupa, interfejs (wifi u mom slučaju), MAC adresa, izvorna IP adresa pristupa kao i odredišna IP (moja) i nekoliko drugih podataka, uključujući i protokol (TCP) i odredišni port (22) su pronađeni. Kao rezime, u 10:29 4. marta, IP 10.10.0.1 je pokušao pristupiti portu 22 (SSH) mog laptopa kada je (tj. moj laptop) imao IP 10.10.0.51, sve to preko Wi-Fi (wlan0 )

Kao što vidite... zaista korisne informacije 😉

U svakom slučaju, mislim da nema mnogo više da se kaže. Nikako nisam stručnjak za iptables ili ulogd, ali ako neko ima problem sa ovim neka mi se javi pa ću pokušati da mu pomognem

Pozdrav 😀