iptablesVaikimisi on sellel režiim "Aktsepteeri kõik" filtrireegel, see tähendab, et see lubab sisse ja välja kõik ühendused meie arvutist või meie arvutiga, kuid mis siis, kui me tahame logida kogu teabe oma serverite või arvutitega loodud ühenduste kohta?
Märkus. Protseduur, mille nüüd täidan, kehtib jaotustes 100% Debian/Debianipõhine, nii et kui kasutate Slackware, Fedora, CentOS, OpenSuSe, protseduur ei pruugi olla sama, soovitame enne allpool selgitatud rakendamist lugeda ja mõista oma levitamise sisselogimissüsteemi. Samuti on võimalus installida rsyslog oma levitamisse, kui see on hoidlates saadaval, ehkki selles õpetuses on syslog ka lõpus selgitatud.
Siiani kõik hea, aga misKuhu me sisse logime? Lihtne, failis «/var/log/firewall/iptables.log", mida pole olemas, kuni me ise seda usume ...
1- Peame looma faili «iptables.log»Kausta sees«/ var / log / tulemüür»Et me peame selle looma, sest ka seda pole olemas.
mkdir -p / var / log / tulemüür /
puudutage /var/log/firewall/iptables.log
2- Load, väga oluline ...
chmod 600 /var/log/firewall/iptables.log
chown juur: adm /var/log/firewall/iptables.log
3- rsyslog, Debiani sisselogimise deemon, loeb konfiguratsiooni/etc/rsyslog.d«, Seega peame looma faili, mida ma kutsun«tulemüür.conf»Millest rsyslog saab tõlgendada seda, mida me tahame teha.
puudutage nuppu /etc/rsyslog.d/firewall.conf
Ja sees me jätame ta maha langus õrnalt järgmine sisu:
: msg, sisaldab, "iptables:" - / var / log / tulemüür / iptables.log
& ~
Mul pole vähimatki ideed,mida need paar rida teevad?
Esimene rida kontrollib logitud andmeid stringi jaoks «iptables: »Ja lisab selle faili«/var/log/firewall/iptables.log«
Teine peatab eelmise mustriga logitud teabe töötlemise, nii et seda ei jätkata aadressile «/ var / log / messages"
4- Logifaili pööramine klahviga saavutatud.
Peame looma «/etc/logrotate.d/"fail"tulemüüri»Mis sisaldab järgmist sisu:
/var/log/firewall/iptables.log
{
pöörata 7
iga päev
suurus 10M
kuupäevatekst
kadunud
loo 600 juure adm
teatamatu
kompress
viivituskompress
pöörlema
invoke-rc.d rsyslog reload> / dev / null
lõpukiri
}
Logide 7 korda pööramiseks enne nende kustutamist loodi juurena 1 kord päevas, maksimaalne logi suurus 10 MB, tihendatud, kuupäevaga, ilma viga andmata, kui logi pole.
5- Taaskäivitage rsyslogi deemon nagu kõik õnneliku lõpuga xD:
/etc/init.d/rsyslog taaskäivitage
Kuidas tõestada, et kõik see töötab?
Proovime SSH-d.
paigaldama OpenSSH (kui neil pole seda installitud ...):
apt-get install openssh-server
Enne jätkamist peame töötama konsoolis juurena:
iptables -A INPUT -p tcp --dport 22 --syn -j LOG --log-prefix "iptables: " --log-level 4
Selle iptables-i lause täitmine logib piisavalt teavet, et näidata, et see, mida oleme teinud, pole asjata. Selles lauses ütleme iptablesile, et logige kogu teave, mis sinna jõuab pordi 22 kaudu. Muude teenustega testimiseks muutke lihtsalt pordi numbrit, näiteks MySQL-i jaoks 3306, et tuua näiteks näide, kui soovite rohkem teavet lugege seda väga hästi dokumenteeritud õpetust ja põhineb enamkasutatavate konfiguratsioonide tüüpilistel näidetel.
SSH kasutab vaikimisi porti 22, seega teeme testi sellega. Pärast opensh-i installimist ühendame selle.
ssh pepe @ test-server
Logide nägemiseks lahendage see probleem sabaga:
saba -f /var/log/firewall/iptables.log
Selles näites registreerivad Iptables kõik, päev, kellaaeg, ip, mac jne, mis muudab selle suurepäraseks meie serverite jälgimiseks. Väike abi, mis ei tee kunagi haiget.
Nüüd, võttes arvesse, et me kasutame teist distro, nagu ma alguses ütlesin, kasutatakse seda üldiselt rsyslogvõi midagi sarnast. Kui teie distro kasutab syslog, sama harjutuse sooritamiseks peame veidi muutma / muutma syslog.conf
nano /etc/syslog.conf
Lisage ja salvestage järgmine rida:
kern.warning /var/log/firewall/iptables.log
Ja siis tead, õnnelik lõpp:
/etc/init.d/sysklogd taaskäivitage
Tulemus: sama.
See on praegu, tulevastes postitustes jätkame iptablesiga mängimist.
Viited:
Sundige iptablesi teise faili sisse logima
Logige iptables rsyslogiga eraldi faili
Iptable'i seadistamise õpetus Fedora / RHEL süsteemides
Suurepärane see «minijuhend» BOFH-le, mida teete vähehaaval
Tänan, järk-järgult esitan üksikasju ja andmeid iptable'ide kohta, mida pidin teadma oma tööst, mida mõnikord vajame ja mida Internetis väga halvasti seletatakse, kõik kasutaja ... xD
Kasutan juhust, et teid liikmeks tervitada 😀
Teil on tõesti palju kaasa aidata, teil on võrkude, süsteemide, tulemüüride jms teadmised, nii et ma olen (olen) üks paljudest lugejatest, kellel teil on hahaha.
Tervitused ja noh ... teate, mida iganes see võtab 😀
Ootan neid esemeid ^^
Tule Koratsuki, ma ei teadnud, et sa seda blogi külastasid.
Muide, tulemüüri logimise teine variant on paketi kasutamine ulogd, mille on teinud netfiltri projekti inimesed, et hõlbustada seda tüüpi jälgede eraldamist (võimaldab neid erinevatel viisidel salvestada). Seda lähenemist ma tavaliselt kasutan. Selle kasutamine on lihtne, näiteks:
iptables -A INPUT -p udp -m multiport ! --ports 53,67:68 -m state --state NEW -j ULOG --ulog-prefix "Solicitud UDP dudosa"
Pean postitusele andma F5, Ulogdi tööviis sobib mulle, isegi MySQL logib tüübi: D
Hea postitus, jätka seda.
Tere ülemus, kuidas läheb?
Kas saaksite mulle käe anda?
Kuna ma ei saa õpetust ja see on veega selgem, ei tea ma, kus ma eksin