Není to poprvé, o čem mluvíme iptables, již jsme dříve zmínili, jak vytvořit pravidla iptables jsou automaticky implementovány při spuštění počítače, také vysvětlíme co základní / střední přes iptables, a několik dalších věcí 🙂
Problém nebo mrzutost, kterou ti z nás, kteří mají rádi iptables, vždy najdou, je, že protokoly iptables (tj. Informace o odmítnutých paketech) jsou zobrazeny v souborech dmesg, kern.log nebo syslog / var / log /, nebo Jinými slovy, v těchto souborech se zobrazují nejen informace o iptables, ale také spousta dalších informací, takže je trochu zdlouhavé vidět pouze informace související s iptables.
Před chvílí jsme vám ukázali, jak na to získat protokoly z iptables do jiného souboru, nicméně ... Musím přiznat, že osobně považuji tento proces za trochu složitý ^ - ^
Pak, Jak získat protokoly iptables do samostatného souboru a udržet je co nejjednodušší?
Řešením je: ulogd
ulogd je to balíček, který jsme nainstalovali (en Debian nebo deriváty - »sudo apt-get install ulogd) a poslouží nám přesně k tomu, co jsem vám právě řekl.
Chcete-li jej nainstalovat, víte, vyhledejte balíček ulogd ve svých repozitářích a nainstalujte jej, poté k nim bude přidán démon (/etc/init.d/ulogd) při spuštění systému, pokud používáte jakýkoli distrikt KISS archlinux by měl přidat ulogd do části démonů, které začínají systémem v /etc/rc.conf
Jakmile to mají nainstalované, musí do svého skriptu pravidel iptables přidat následující řádek:
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
Poté znovu spusťte skript pravidel iptables a voila, vše bude fungovat 😉
Vyhledejte protokoly v souboru: /var/log/ulog/syslogemu.log
V tomto souboru, který zmiňuji, je místo, kde ve výchozím nastavení ulogd vyhledá odmítnuté protokoly paketů, ale pokud chcete, aby byl v jiném souboru, a ne v tomto, můžete upravit řádek # 53 v /etc/ulogd.conf, pouze změní cestu k souboru, který ukazuje tento řádek, a poté restartují démona:
sudo /etc/init.d/ulogd restart
Pokud se na tento soubor podíváte pozorně, uvidíte, že existují možnosti, jak dokonce ukládat protokoly do databáze MySQL, SQLite nebo Postgre, ve skutečnosti jsou ukázkové konfigurační soubory v / usr / share / doc / ulogd /
Dobře, protokoly iptables již máme v jiném souboru, jak je nyní ukázat?
Pro toto jednoduché kočka by stačilo:
cat /var/log/ulog/syslogemu.log
Nezapomeňte, že budou protokolovány pouze odmítnuté pakety, pokud máte webový server (port 80) a máte nakonfigurované iptables, aby měl každý přístup k této webové službě, protokoly s tím související nebudou uloženy do protokolů, bez mít službu SSH a prostřednictvím iptables nakonfigurovali přístup na port 22 tak, aby umožňoval pouze konkrétní IP, v případě, že se pokusí o přístup k jakékoli jiné IP než vybrané IP 22, bude to uloženo do protokolu.
Ukážu vám zde ukázkový řádek z mého protokolu:
4. března 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 OKNO = 0 SYN URGP = XNUMX
Jak vidíte, datum a čas pokusu o přístup, rozhraní (v mém případě wifi), MAC adresa, zdrojová IP přístupu i cílová IP (moje) a několik dalších údajů, mezi nimiž je protokol (TCP ) a cílový port (22) jsou nalezeny. Stručně řečeno, v 10:29 4. března se IP 10.10.0.1 pokusil o přístup k portu 22 (SSH) mého notebooku, když (tj. Můj notebook) měl IP 10.10.0.51, to vše prostřednictvím Wifi (wlan0)
Jak vidíte ... opravdu užitečné informace 😉
Každopádně si nemyslím, že by se dalo říct mnohem víc. Nejsem zdaleka odborníkem na iptables nebo ulogd, ale pokud má někdo s tím problém, dejte mi vědět a já se pokusím mu pomoci
Zdravím 😀
https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
Pamatuji si, že tím článkem jsem je začal sledovat .. hehe ..
Děkuji, cti, že mě děláš 😀
ulogd je to jen pro iptables nebo je to obecné? umožňuje nastavit kanály? přihlášení pomocí sítě?
Věřte, že je to jen pro iptables, ale házejte 'man ulogd', abyste se zbavili pochybností.
Máte pravdu: „ulogd - démon protokolování uživatelského prostoru Netfilter“
+1, skvělé vyjádření!
Díky, příchod od vás, kteří nejste jedním z těch, kteří dělají nejvíce lichotek, znamená hodně 🙂
To neznamená, že vím víc než kdokoli jiný, ale že jsem nevrlý xD
Ještě jednou děkuji za příspěvek, s odkazem na další článek o krizi hispánské linuxové blogosféry, tento váš příspěvek - když už mluvíme o technickém příspěvku - je jen typ příspěvku, který je potřebný ve španělštině / kastilštině.
Kvalitní technické příspěvky, jako je tento, od sysadmins, jsou vždy vítány a jdou přímo k oblíbeným 8)
Ano, pravdou je, že technické články jsou to, co je potřeba ... Nikdy jsem se neunavoval to říkat, ve skutečnosti jsem o tom už mluvil zde - » https://blog.desdelinux.net/que-aporta-realmente-desdelinux-a-la-comunidad-global/
Každopádně ještě jednou děkuji ... Zkusím to tak zůstat u technických příspěvků 😀
pozdravy