Zobrazení protokolů iptables v samostatném souboru s ulogd

Není to poprvé, o čem mluvíme iptables, již jsme dříve zmínili, jak vytvořit pravidla iptables jsou automaticky implementovány při spuštění počítače, také vysvětlíme co základní / střední přes iptables, a několik dalších věcí 🙂

Problém nebo mrzutost, kterou ti z nás, kteří mají rádi iptables, vždy najdou, je, že protokoly iptables (tj. Informace o odmítnutých paketech) jsou zobrazeny v souborech dmesg, kern.log nebo syslog / var / log /, nebo Jinými slovy, v těchto souborech se zobrazují nejen informace o iptables, ale také spousta dalších informací, takže je trochu zdlouhavé vidět pouze informace související s iptables.

Před chvílí jsme vám ukázali, jak na to získat protokoly z iptables do jiného souboru, nicméně ... Musím přiznat, že osobně považuji tento proces za trochu složitý ^ - ^

Pak, Jak získat protokoly iptables do samostatného souboru a udržet je co nejjednodušší?

Řešením je: ulogd

ulogd je to balíček, který jsme nainstalovali (en Debian nebo deriváty - »sudo apt-get install ulogd) a poslouží nám přesně k tomu, co jsem vám právě řekl.

Chcete-li jej nainstalovat, víte, vyhledejte balíček ulogd ve svých repozitářích a nainstalujte jej, poté k nim bude přidán démon (/etc/init.d/ulogd) při spuštění systému, pokud používáte jakýkoli distrikt KISS archlinux by měl přidat ulogd do části démonů, které začínají systémem v /etc/rc.conf

Jakmile to mají nainstalované, musí do svého skriptu pravidel iptables přidat následující řádek:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Poté znovu spusťte skript pravidel iptables a voila, vše bude fungovat 😉

Vyhledejte protokoly v souboru: /var/log/ulog/syslogemu.log

V tomto souboru, který zmiňuji, je místo, kde ve výchozím nastavení ulogd vyhledá odmítnuté protokoly paketů, ale pokud chcete, aby byl v jiném souboru, a ne v tomto, můžete upravit řádek # 53 v /etc/ulogd.conf, pouze změní cestu k souboru, který ukazuje tento řádek, a poté restartují démona:

sudo /etc/init.d/ulogd restart

Pokud se na tento soubor podíváte pozorně, uvidíte, že existují možnosti, jak dokonce ukládat protokoly do databáze MySQL, SQLite nebo Postgre, ve skutečnosti jsou ukázkové konfigurační soubory v / usr / share / doc / ulogd /

Dobře, protokoly iptables již máme v jiném souboru, jak je nyní ukázat?

Pro toto jednoduché kočka by stačilo:

cat /var/log/ulog/syslogemu.log

Nezapomeňte, že budou protokolovány pouze odmítnuté pakety, pokud máte webový server (port 80) a máte nakonfigurované iptables, aby měl každý přístup k této webové službě, protokoly s tím související nebudou uloženy do protokolů, bez mít službu SSH a prostřednictvím iptables nakonfigurovali přístup na port 22 tak, aby umožňoval pouze konkrétní IP, v případě, že se pokusí o přístup k jakékoli jiné IP než vybrané IP 22, bude to uloženo do protokolu.

Ukážu vám zde ukázkový řádek z mého protokolu:

4. března 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 OKNO = 0 SYN URGP = XNUMX

Jak vidíte, datum a čas pokusu o přístup, rozhraní (v mém případě wifi), MAC adresa, zdrojová IP přístupu i cílová IP (moje) a několik dalších údajů, mezi nimiž je protokol (TCP ) a cílový port (22) jsou nalezeny. Stručně řečeno, v 10:29 4. března se IP 10.10.0.1 pokusil o přístup k portu 22 (SSH) mého notebooku, když (tj. Můj notebook) měl IP 10.10.0.51, to vše prostřednictvím Wifi (wlan0)

Jak vidíte ... opravdu užitečné informace 😉

Každopádně si nemyslím, že by se dalo říct mnohem víc. Nejsem zdaleka odborníkem na iptables nebo ulogd, ale pokud má někdo s tím problém, dejte mi vědět a já se pokusím mu pomoci

Zdravím 😀