Es ist nicht das erste Mal, dass wir darüber sprechen iptableshaben wir bereits erwähnt, wie man Regeln macht iptables werden automatisch implementiert, wenn Sie den Computer startenerklären wir auch was Basic / Medium über Iptablesund einige andere Dinge 🙂
Das Problem oder der Ärger, den diejenigen von uns, die iptables mögen, immer finden, ist, dass die iptables-Protokolle (dh die Informationen der zurückgewiesenen Pakete) in den Dateien dmesg, kern.log oder syslog von / var / log / oder angezeigt werden Mit anderen Worten, diese Dateien zeigen nicht nur die iptables-Informationen, sondern auch viele andere Informationen, was es etwas mühsam macht, nur die Informationen zu iptables zu sehen.
Vor einiger Zeit haben wir Ihnen gezeigt, wie Holen Sie sich die Protokolle von iptables in eine andere DateiIch muss jedoch zugeben, dass ich diesen Prozess persönlich etwas komplex finde ^ - ^
Dann, Wie bekomme ich die iptables-Protokolle in eine separate Datei und halte sie so einfach wie möglich?
Die Lösung ist: ulogd
ulogd Es ist ein Paket, das wir installiert haben (en Debian oder Derivate - »sudo apt-get install ulogd) und es wird uns genau für das dienen, was ich dir gerade gesagt habe.
Um es zu installieren, suchen Sie nach dem Paket ulogd in ihren Repos und installieren Sie es, dann wird ihnen ein Daemon hinzugefügt (/etc/init.d/ulogd) beim Systemstart, wenn Sie eine KISS-Distribution wie verwenden ArchLinux muss hinzufügen ulogd zu dem Abschnitt der Dämonen, die mit dem System in beginnen /etc/rc.conf
Sobald sie es installiert haben, müssen sie die folgende Zeile in ihr iptables-Regelskript einfügen:
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
Führen Sie dann Ihr iptables-Regelskript erneut aus und voila, alles wird funktionieren 😉
Suchen Sie nach den Protokollen in der Datei: /var/log/ulog/syslogemu.log
In dieser Datei, die ich erwähne, findet ulogd standardmäßig die abgelehnten Paketprotokolle. Wenn Sie jedoch möchten, dass sie sich in einer anderen Datei befinden und nicht in dieser, können Sie Zeile 53 in ändern /etc/ulogd.confSie ändern lediglich den Pfad der Datei, in der diese Zeile angezeigt wird, und starten dann den Dämon neu:
sudo /etc/init.d/ulogd restart
Wenn Sie sich diese Datei genau ansehen, werden Sie feststellen, dass es Optionen gibt, um die Protokolle sogar in einer MySQL-, SQLite- oder Postgre-Datenbank zu speichern. Die Beispielkonfigurationsdateien befinden sich tatsächlich in / usr / share / doc / ulogd /
Ok, wir haben die iptables-Protokolle bereits in einer anderen Datei. Wie können wir sie jetzt anzeigen?
Dafür ein einfaches Katze würde genügen:
cat /var/log/ulog/syslogemu.log
Denken Sie daran, dass nur abgelehnte Pakete protokolliert werden. Wenn Sie einen Webserver (Port 80) haben und iptables so konfiguriert haben, dass jeder auf diesen Webdienst zugreifen kann, werden die diesbezüglichen Protokolle nicht ohne in den Protokollen gespeichert Wenn sie jedoch über einen SSH-Dienst verfügen und über iptables den Zugriff auf Port 22 so konfiguriert haben, dass nur eine bestimmte IP-Adresse zugelassen wird, falls eine andere als die ausgewählte IP-Adresse versucht, auf 22 zuzugreifen, wird diese im Protokoll gespeichert.
Ich zeige Ihnen hier eine Beispielzeile aus meinem Protokoll:
4. März 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 WINDOW = 0 SYN URGP = XNUMX
Wie Sie sehen können, Datum und Uhrzeit des Zugriffsversuchs, Schnittstelle (in meinem Fall WLAN), MAC-Adresse, Quell-IP des Zugriffs sowie Ziel-IP (meine) und einige andere Daten, darunter Das Protokoll (TCP) und der Zielport (22) werden gefunden. Zusammenfassend versucht IP 10 am 29. März um 4:10.10.0.1 Uhr, auf Port 22 (SSH) meines Laptops zuzugreifen, wenn dieser (dh mein Laptop) die IP 10.10.0.51 hatte, und dies alles über WLAN (wlan0)
Wie Sie sehen können ... wirklich nützliche Informationen 😉
Ich glaube jedenfalls nicht, dass es noch viel mehr zu sagen gibt. Ich bin bei weitem kein Experte für iptables oder ulogd, aber wenn jemand ein Problem damit hat, lass es mich wissen und ich werde versuchen, ihnen zu helfen
Grüße 😀
https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
Ich erinnere mich, dass ich mit diesem Artikel angefangen habe, ihnen zu folgen .. hehe ..
Danke, Ehre, dass du mich tust 😀
ist ulogd nur für iptables oder ist es allgemein? erlaubt Kanäle einzustellen? Protokollierung nach Netzwerk?
Glauben Sie, dass es nur für iptables ist, geben Sie ihm jedoch einen "Mann ulogd", um Zweifel loszuwerden.
Sie haben Recht: "ulogd - Der Netfilter Userspace-Protokollierungsdämon"
+1, großartig artikulieren!
Danke, von Ihnen zu kommen, die nicht zu denen gehören, die am meisten schmeicheln, bedeutet viel
Das bedeutet nicht, dass ich mehr weiß als jeder andere, sondern dass ich mürrisch xD bin
Nochmals vielen Dank für den Beitrag, der sich auf den anderen Artikel über die Krise der hispanischen Linux-Blogosphäre bezieht. Dieser Beitrag von Ihnen - das Sprechen von technischen Beiträgen - ist genau die Art von Beitrag, die in spanisch / kastilischer Sprache benötigt wird.
Qualitativ hochwertige technische Beiträge wie diese von Systemadministratoren sind immer willkommen und gehen direkt zu den Favoriten 8)
Ja, die Wahrheit ist, dass technische Artikel benötigt werden ... Ich werde nie müde, es zu sagen, tatsächlich habe ich hier bereits darüber gesprochen - » https://blog.desdelinux.net/que-aporta-realmente-desdelinux-a-la-comunidad-global/
Wie auch immer, nochmals vielen Dank ... Ich werde versuchen, mit technischen Beiträgen so zu bleiben 😀
Grüße