Iptablesi logide kuvamine eraldi failis koos ulogd-ga

Me ei räägi sellest esimest korda iptablesmainisime juba enne, kuidas reegleid koostada iptables rakendatakse arvuti käivitamisel automaatselt, selgitame ka mida põhi / keskmine üle iptablesja veel mitmeid asju 🙂

Probleem või pahameel, mis meile iptablesi juures alati meeldib, seisneb selles, et iptablesi logid (st tagasilükatud pakettide teave) kuvatakse failides dmesg, kern.log või syslog failides / var / log / või Teisisõnu, neis failides ei kuvata mitte ainult iptablesi teavet, vaid ka palju muud teavet, mistõttu on ainult iptablesiga seotud teabe nägemine veidi tüütu.

Mõni aeg tagasi näitasime teile, kuidas viige logid iptables'ist teise failiKuid ... Pean tunnistama, et mulle isiklikult tundub see protsess natuke keeruline ^ - ^

Siis Kuidas saada iptablesi logid eraldi faili ja hoida seda võimalikult lihtsana?

Lahendus on: ulogd

ulogd see on pakett, mille installisime (en Debian või tuletised - »sudo apt-get install ulogd) ja see teenib meid just selle eest, mida ma teile just ütlesin.

Teadmiseks installige see ulogd oma repodes ja installige see, siis lisatakse neile deemon (/etc/init.d/ulogd) süsteemi käivitamisel, kui kasutate mõnda KISS-i sarnast ArchLinux peaks lisama ulogd aastal süsteemi alustavate deemonite sektsiooni /etc/rc.conf

Kui see on installitud, peavad nad oma iptables reeglite skripti lisama järgmise rea:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Seejärel käivitage oma iptables reeglite skript uuesti ja voila, kõik töötab 😉

Otsige failist logisid: /var/log/ulog/syslogemu.log

Selles mainitud failis leiab ulogd vaikimisi tagasilükatud pakettide logid, kuid kui soovite, et see oleks mõnes teises failis, mitte selles, saate muuta rida nr 53 /etc/ulogd.conf, muudavad nad lihtsalt selle rea näitava faili teed ja taaskäivitavad deemoni:

sudo /etc/init.d/ulogd restart

Kui vaatate seda faili tähelepanelikult, näete, et logide salvestamiseks MySQLi, SQLite'i või Postgre'i andmebaasi on võimalusi, tegelikult on näited konfiguratsioonifailidest kataloogis / usr / share / doc / ulogd /

Ok, meil on juba iptablesi logid teises failis, kuidas neid siis näidata?

Selle jaoks on lihtne kass piisaks:

cat /var/log/ulog/syslogemu.log

Pidage meeles, et logitakse ainult tagasilükatud paketid, kui teil on veebiserver (port 80) ja teil on seadistatud iptables nii, et kõik saaksid sellele veebiteenusele juurde pääseda, ei salvestata sellega seotud logisid logidesse ilma omavad SSH-teenust ja iptable'i kaudu konfigureerisid juurdepääsu porti 22 nii, et see lubaks ainult konkreetset IP-d, juhul kui mõni muu kui valitud IP proovib juurdepääsu 22-le, salvestatakse see logisse.

Näitan teile siin oma logi näiteid:

4. märts 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 AKEN = 0 SYN URGP = XNUMX

Nagu näete, on juurdepääsukatse kuupäev ja kellaaeg, liides (minu puhul wifi), MAC-aadress, juurdepääsu allika IP, samuti sihtkoha IP (minu) ja mitmed muud andmed, sealhulgas protokoll (TCP) ) ja sihtkohasadam (22) on leitud. Kokkuvõtteks võib öelda, et 10. märtsi kell 29 proovis IP 4 pääseda juurde minu sülearvuti porti 10.10.0.1 (SSH), kui sellel (st minu sülearvutil) oli IP 22, seda kõike Wifi kaudu (wlan10.10.0.51)

Nagu näete ... tõesti kasulik teave 😉

Igatahes pole minu meelest palju muud öelda. Ma pole kaugeltki iptablesi ega ulogdi ekspert, aga kui kellelgi on sellega probleeme, andke mulle teada ja proovin neid aidata

Tervitused 😀