Ara es mostren logs d'iptables en arxiu independent amb ulogd

No és la primera vegada que parlem de iptables, Ja els hem esmentat abans com fer perquè regles de iptables s'implementin automàticament quan s'inicia l'ordinador, També els vam explicar el bàsic / mig sobre iptables, I diverses coses més 🙂

El problema o molèstia que sempre ens trobem aquells que agradem d'iptables és que, els logs d'iptables (o sigui, la informació dels paquets rebutjats) es mostren en arxius dmesg, kern.log o syslog de / var / log / o sigui que en aquests arxius no només és mostra la informació de iptables, sinó molta altra informació, fent una mica tediós veure només la informació relacionada amb iptables.

Fa un temps els vam mostrar com treure els logs d'iptables a un altre arxiu, Però ... he de reconèixer que personalment trobo aquest procés una mica complex ^ - ^

Llavors, Com treure els logs d'iptables a un arxiu independent i que sigui el més simple possible?

La solució és: ulogd

ulogd és un paquet que instal·lem (en Debian o derivats - »sudo apt-get install ulogd) I ens servirà per precisament això que els acabo de dir.

Per instal·lar ja saben, busquin el paquet ulogd en els seus repos i l'instal·len, després se'ls afegirà un dimoni (/etc/init.d/ulogd) A l'inici de sistema, si fas servir alguna distro KISS com ArchLinux d'agregar ulogd a la secció de dimonis que s'inicien amb el sistema en /etc/rc.conf

Un cop el tinguin instal·lat ja, d'agregar la següent línia en el seu script de regles de iptables:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Després tornin a executar el seu script de regles d'iptables i llest, ja estarà tot funcionant 😉

Busquin i als logs al fitxer: /var/log/ulog/syslogemu.log

En aquest arxiu que els esmento és on per defecte ulogd situa els logs de paquets rebutjats, no obstant si desitgen que sigui en un altre arxiu i no en aquest poden modificar la línia # 53 en /etc/ulogd.conf, Simplement canvien la ruta de l'arxiu que mostra aquesta línia i després reinicien el dimoni:

sudo /etc/init.d/ulogd restart

Si miren atentament aquest arxiu podran veure que hi ha opcions per inclusivament, guardar els logs en una base de dades MySQL, SQLite o Postgre, de fet els arxius de configuració d'exemple es troben en / usr / share / doc / ulogd /

Ok, ja tenim els logs d'iptables en un altre arxiu, ara com mostrar-los?

Per això un simple gat n'hi hauria prou:

cat /var/log/ulog/syslogemu.log

Recordin, només es guardarà en log els paquets rebutjats, si vostès tenen un servidor web (port 80) i tenen configurat iptables perquè tothom pugui accedir a aquest servei web, els logs relacionats amb això no es guardaran en els logs, sense això si tenen un servei SSH i mitjançant iptables van configurar l'accés a l'port 22 perquè només permeti una IP específica, en cas que alguna IP que no sigui l'elegida intenti accedir a l'22 llavors això sí que es guardarà en el registre.

Els mostro aquí una línia d'exemple de la meva log:

Mar 4 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 WINDOW = 0 SYN URGP = XNUMX

Com poden veure, es mostra la data i hora d'intent d'accés, interfície (wifi en el meu cas), adreça MAC, IP d'origen de l'accés així com també la IP de destinació (la meva), i diverses dades més entre els quals es troben el protocol (TCP) i el port de destinació (22). Com a resum, a les 10:29 de el 4 de març la IP 10.10.0.1 va intentar accedir a l'port 22 (SSH) del meu portàtil quan aquesta (o sigui, el meu portàtil) tenia la IP 10.10.0.51, tot això mitjançant la Wifi (wlan0)

Com veuen ... informació realment útil 😉

En fi, no crec que hi hagi molt més a dir. No sóc ni de lluny un expert en iptables o en ulogd, no obstant si algú té algun problema amb això em deixen saber i intentaré ajudar-

Salutacions 😀