IptablesVe výchozím nastavení má pravidlo filtru v režimu „Přijmout vše“, to znamená, že umožňuje a odchází všechna připojení z nebo do našeho počítače, ale co když chceme zaznamenat všechny informace o připojeních provedených na našich serverech nebo počítačích?
Poznámka: Procedura, kterou nyní provedu, je platná 100% v distribucích Debian/Založené na Debianu, takže pokud používáte Slackware, Fedora, CentOS, OpenSuSe, postup nemusí být stejný, doporučujeme přečíst a porozumět přihlašovacímu systému vaší distribuce před použitím níže vysvětleného postupu. Existuje také možnost instalace rsyslog do vaší distribuce, pokud je k dispozici v úložištích, ačkoli v tomto tutoriálu je na konci vysvětlen také syslog.
Zatím vše dobré, ale coKam se přihlásíme? Snadné, v souboru «/var/log/firewall/iptables.log", co neexistuje, dokud tomu sami nevěříme ...
1- Musíme vytvořit soubor «iptables.log»Uvnitř složky«/ var / log / firewall»Že to musíme vytvořit, protože ani to neexistuje.
mkdir -p / var / log / firewall /
klepněte na /var/log/firewall/iptables.log
2- Oprávnění, velmi důležité ...
chmod 600 /var/log/firewall/iptables.log
kořen chown: adm /var/log/firewall/iptables.log
3- rsyslog, přihlašovací démon Debianu, načte konfiguraci z «/etc/rsyslog.d«, Takže musíme vytvořit soubor, který budu nazývat«firewall.conf»Z čeho může rsyslog interpretovat, co chceme dělat.
klepněte na /etc/rsyslog.d/firewall.conf
A uvnitř ho necháme pečovat jemně následující obsah:
: msg, obsahuje, „iptables:“ - / var / log / firewall / iptables.log
& ~
Nemám nejmenší tušení,co dělá těchto pár řádků?
První řádek kontroluje zaznamenaná data na řetězec «iptables: »A přidá jej do souboru«/var/log/firewall/iptables.log«
Druhý zastaví zpracování informací zaznamenaných s předchozím vzorem, takže nebude pokračovat v odesílání na «/ var / log / zprávy".
4- Otáčení souboru protokolu s logrotate.
Musíme vytvořit uvnitř «/etc/logrotate.d/" soubor "firewall»Který bude obsahovat následující obsah:
/var/log/firewall/iptables.log
{
otočit 7
denní
velikost 10M
datum
missingok
vytvořit 600 root
notifempty
komprimovat
delaycompress
postrotovat
vyvolat-rc.d rsyslog znovu načíst> / dev / null
konec
}
Aby bylo možné protokoly před odstraněním 7krát otočit, 1krát denně, maximální velikost protokolu 10 MB, komprimované, datované, bez chyby, pokud protokol neexistuje, vytvořený jako root.
5- Restartujte, stejně jako všechny šťastné konce xD, démon rsyslog:
/etc/init.d/rsyslog restartujte
Jak dokázat, že vše funguje?
Zkusme SSH.
Instalovat OpenSSH (v případě, že to nemají nainstalované ...):
apt-get nainstalovat openssh-server
Než budeme pokračovat, musíme v konzole běžet jako root:
iptables -A INPUT -p tcp --dport 22 --syn -j LOG --log-prefix "iptables: " --log-level 4
Provedením tohoto příkazu iptables zaznamenáme dostatek informací, abychom ukázali, že to, co jsme udělali, není marné. V této větě říkáme iptables, aby protokolovaly všechny informace, které k němu přicházejí přes port 22. Chcete-li testovat s jinými službami, stačí změnit číslo portu, například 3306 pro MySQL, jen abychom uvedli příklad, pokud chcete více informací, přečtěte si tento velmi dobře zdokumentovaný návod a na základě typických příkladů nejpoužívanějších konfigurací.
SSH standardně používá port 22, takže s ním budeme testovat. Po instalaci openssh se k němu připojíme.
ssh pepe @ testovací server
Chcete-li zobrazit protokoly, ocasem vyřešíte tento problém:
ocas -f /var/log/firewall/iptables.log
Iptables v tomto příkladu zaznamenávají vše, den, čas, ip, mac atd., Což je skvělé pro sledování našich serverů. Malá pomoc, která nikdy neublíží.
Vezmeme-li v úvahu, že používáme další distribuci, jak jsem řekl na začátku, obvykle se používá rsyslognebo něco podobného. Pokud vaše distribuce používá syslog, abychom mohli provést stejné cvičení, musíme jej mírně upravit / upravit syslog.conf
nano /etc/syslog.conf
Přidejte a uložte následující řádek:
kern.warning /var/log/firewall/iptables.log
A pak, víte, šťastný konec:
/etc/init.d/sysklogd restartujte
Výsledek: stejný.
To je zatím vše, v budoucích příspěvcích si budeme i nadále hrát s iptables.
reference:
Vynutit iptables k přihlášení do jiného souboru
Přihlaste iptables do samostatného souboru pomocí rsyslog
Výukový program pro konfiguraci Iptables na systémech Fedora / RHEL
Skvělý tento «mini-manuál» pro BOFH, který děláte kousek po kousku
Děkuji, kousek po kousku uvedu podrobnosti a údaje o iptables, které jsem musel znát ze své práce, které někdy potřebujeme a jsou velmi špatně vysvětleny na internetu, vše uživatelem ...
Využívám této příležitosti a vítám vás, člena member
Opravdu máte spoustu příspěvků, máte opravdu pokročilé znalosti sítí, systémů, firewallů atd., Takže budu (jsem) jedním z mnoha čtenářů, které budete mít hahaha.
Zdravím a dobře ... víte, ať už je potřeba cokoli 😀
Těším se na tyto položky ^ ^
No tak Koratsuki, nevěděl jsem, že jsi navštěvoval tento blog.
Mimochodem, balíček používá jiná varianta protokolování aktivity brány firewall ulogd, který vytvářejí lidé projektu netfilter, aby usnadnili oddělení tohoto typu stop (umožňuje je ukládat různými způsoby). Je to přístup, který obvykle používám. Použití je snadné, například:
iptables -A INPUT -p udp -m multiport ! --ports 53,67:68 -m state --state NEW -j ULOG --ulog-prefix "Solicitud UDP dudosa"Budu muset dát příspěvek F5, způsob práce Ulogd mi vyhovuje, dokonce i MySQL protokoluje typ: D.
Dobrý příspěvek, držte to.
Ahoj šéfe, jak to jde?
Můžeš mi pomoct?
Jelikož tutoriál nedostávám a je jasnější než voda, nevím, kde se mýlím