Nije prvi put da pričamo o tome iptables, već smo ranije spomenuli kako se pobrinuti da pravila iptables se automatski postavljaju kada pokrenete računar, objašnjavamo i šta basic/medium na iptables, i još nekoliko stvari 🙂
Problem ili smetnja sa kojom se oni od nas koji vole iptables uvijek susreću je to što se iptables logovi (tj. informacije o odbijenim paketima) prikazuju u dmesg, kern.log ili syslog fajlovima u /var/log/, ili To znači da u ovim datotekama se ne prikazuju samo informacije o iptables-u, već i mnogo drugih informacija, što čini pomalo zamornim vidjeti samo informacije vezane za iptables.
Malopre smo vam pokazali kako izvuci iptables logove u drugu datotekuMeđutim... Moram priznati da je meni lično ovaj proces pomalo složen. ^ - ^
Dakle, Kako izdvojiti iptables logove u zasebnu datoteku i učiniti ih što jednostavnijim?
Rješenje je: ulogd
ulogd To je paket koji mi instaliramo (en Debian ili derivati -» sudo apt-get install ulogd) i poslužiće nam upravo za ono što sam vam upravo rekao.
Da biste ga instalirali koji već znate, potražite paket ulogd u njihovim reposima i instalirajte ga, tada će im biti dodan demon (/etc/init.d/ulogd) pri pokretanju sistema, ako koristite KISS distro like ArchLinux treba dodati ulogd na dio demona koji su pokrenuti sa sistemom u /etc/rc.conf
Nakon što ga instalirate, morate dodati sljedeći red u svoju iptables skriptu pravila:
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
Zatim ponovo pokrenite svoju iptables skriptu pravila i voila, sve će raditi 😉
Potražite zapise u datoteci sada: /var/log/ulog/syslogemu.log
U ovoj datoteci koju sam spomenuo je mjesto gdje ulogd po defaultu postavlja dnevnike odbijenih paketa, međutim ako želite da bude u drugom fajlu, a ne u ovom, možete izmijeniti red #53 u /etc/ulogd.conf, oni jednostavno mijenjaju putanju datoteke prikazanu tom linijom i zatim ponovo pokreću demona:
sudo /etc/init.d/ulogd restart
Ako pažljivo pogledate tu datoteku, vidjet ćete da postoje opcije čak i za spremanje dnevnika u MySQL, SQLite ili Postgre bazu podataka, u stvari, primjeri konfiguracijskih datoteka nalaze se u /usr/share/doc/ulogd/
Ok, već imamo iptables logove u drugoj datoteci, kako ih sada prikazati?
Za ovo jednostavno mačka bilo bi dovoljno:
cat /var/log/ulog/syslogemu.log
Zapamtite, samo odbijeni paketi će biti sačuvani u dnevnik. Ako imate web server (port 80) i konfigurisali ste iptables tako da svi mogu pristupiti ovom web servisu, dnevnici koji se odnose na ovo neće biti sačuvani u evidenciji, međutim Međutim, ako imaju SSH servis i preko iptables-a su konfigurisali pristup portu 22 tako da dozvoljava samo određeni IP, u slučaju da IP različit od odabranog pokuša pristupiti 22 onda će to biti sačuvano u logu.
Ovdje vam pokazujem primjer reda iz mog dnevnika:
Uto 4 22:29:02 exia IN=wlan0 OUT= MAC=00:19:d2:78:eb:47:00:1d:60:7b:b7:f6:08:00 SRC=10.10.0.1 DST=10.10.0.51 .60 LEN=00 TOS=0 PREC=00x64 TTL=12881 ID=37844 DF PROTO=TCP SPT=22 DPT=895081023 SEQ=0 ACK=14600 WINDOW=0 SYN URGP=XNUMX
Kao što vidite, prikazani su datum i vrijeme pokušaja pristupa, interfejs (wifi u mom slučaju), MAC adresa, izvorna IP adresa pristupa kao i odredišna IP (moja) i nekoliko drugih podataka, uključujući i protokol (TCP) i odredišni port (22) su pronađeni. Kao rezime, u 10:29 4. marta, IP 10.10.0.1 je pokušao pristupiti portu 22 (SSH) mog laptopa kada je (tj. moj laptop) imao IP 10.10.0.51, sve to preko Wi-Fi (wlan0 )
Kao što vidite... zaista korisne informacije 😉
U svakom slučaju, mislim da nema mnogo više da se kaže. Nikako nisam stručnjak za iptables ili ulogd, ali ako neko ima problem sa ovim neka mi se javi pa ću pokušati da mu pomognem
Pozdrav 😀
https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
Sjećam se da sam sa tim člankom počeo da ih pratim...hehe...
Hvala, svaka mi čast 😀
Da li je ulogd samo za iptables ili je općenito? Dozvoljava vam da uspostavite kanale? mrežno evidentiranje?
Mislim da je samo za iptables, ali dajte mu 'man ulogd' da razjasnite sve sumnje.
U pravu ste: “ulogd – Netfilter Userspace Logging Daemon”
+1, neverovatno!
Hvala vam, dolazim od vas koji niste jedni od onih koji daju najviše komplimenata, puno znači 🙂
To ne znači da znam više od bilo koga drugog, već da sam mrzovoljan xD
Hvala još jednom za post, pozivajući se na drugi članak o krizi latinoameričke Linux blogosfere, ovaj vaš post - kad smo već kod tehničkih postova - je upravo ona vrsta posta koja je potrebna na španjolskom/kastiljanskom.
Kvalitetni tehnički postovi poput ove, koji dolaze od sysadmina, uvijek su dobrodošli i idite direktno u favorite 8)
Da, istina je da su tehnički članci ono što je potrebno... Nikad se ne umaram da to govorim, zapravo sam već pričao o tome ovdje -» https://blog.desdelinux.net/que-aporta-realmente-desdelinux-a-la-comunidad-global/
U svakom slučaju, hvala još jednom... Trudiću se da budem u toku sa tehničkim objavama 😀
Saludos