Ulogd के साथ अलग फ़ाइल में iptables लॉग दिखा रहा है

यह पहली बार नहीं है जब हम बात करते हैं iptables, हम पहले ही बता चुके हैं कि नियम कैसे बनाएं जब आप कंप्यूटर प्रारंभ करते हैं तो iptables स्वचालित रूप से कार्यान्वित हो जाते हैं, हम भी समझाते हैं क्या आईपीटेबल्स पर बुनियादी/मध्यम, और कई अन्य चीजें 🙂

समस्या या झुंझलाहट जो हममें से जिन्हें iptables के बारे में पसंद है, वे हमेशा यह पाते हैं कि, iptables लॉग (अस्वीकार किए गए पैकेट की जानकारी) dmesg, kern.log या syslog फ़ाइलों में / var / log /, या दूसरे शब्दों में, इन फाइलों में न केवल iptables की जानकारी दिखाई जाती है, बल्कि बहुत सी अन्य जानकारी भी होती है, जिससे केवल iptables से संबंधित जानकारी को देखने में थोड़ी परेशानी होती है।

कुछ समय पहले हमने आपको दिखाया था कि कैसे iptables लॉग को किसी अन्य फ़ाइल में ले जाएँहालाँकि... मुझे यह स्वीकार करना होगा कि मुझे व्यक्तिगत रूप से यह प्रक्रिया थोड़ी जटिल लगती है ^ - ^

फिर, iptables लॉग को एक अलग फ़ाइल में कैसे प्राप्त करें और इसे यथासंभव सरल कैसे बनाएं?

समाधान है: उलझा हुआ

उलझा हुआ एक पैकेज है जिसे हम इंस्टॉल करते हैं (en डेबियन या डेरिवेटिव -» sudo apt-get install ulogd) और यह ठीक वही काम करेगा जो मैंने अभी आपको बताया है।

इसे स्थापित करने के लिए, आप जानते हैं, पैकेज की तलाश करें उलझा हुआ उनके रिपोज़ में और इसे इंस्टॉल करें, फिर उनमें एक डेमॉन जोड़ा जाएगा (/etc/init.d/ulogd) सिस्टम स्टार्टअप पर, यदि आप किसी KISS डिस्ट्रो का उपयोग करते हैं Archlinux जोड़ना चाहिए उलझा हुआ डेमॉन पर अनुभाग में जो सिस्टम से शुरू होता है /etc/rc.conf

एक बार जब वे इसे इंस्टॉल कर लें, तो उन्हें अपनी iptables नियम स्क्रिप्ट में निम्नलिखित पंक्ति जोड़नी होगी:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

फिर अपनी iptables नियम स्क्रिप्ट फिर से चलाएँ और वॉइला, आप काम करने के लिए पूरी तरह तैयार हैं 😉

अब संग्रह में लॉग देखें: /var/log/ulog/syslogemu.log

इस फाइल में जिसका मैं उल्लेख करता हूं कि डिफॉल्ट रूप से ulogd रिजेक्टेड पैकेट लॉग को कैसे ढूंढता है, हालाँकि यदि आप चाहते हैं कि यह किसी अन्य फाइल में हो और इसमें आप लाइन # 53 को संशोधित नहीं कर सकते हैं /etc/ulogd.conf, वे बस उस फ़ाइल पथ को बदलते हैं जो उस पंक्ति को दिखाता है और फिर डेमॉन को पुनरारंभ करता है:

sudo /etc/init.d/ulogd restart

यदि आप उस फ़ाइल को बारीकी से देखते हैं, तो आप देखेंगे कि MySQL, SQLite या Postgre डेटाबेस में लॉग को सहेजने के विकल्प भी हैं, वास्तव में उदाहरण कॉन्फ़िगरेशन फ़ाइलें / usr / share / doc / ulogd / में हैं

ठीक है, हमारे पास पहले से ही किसी अन्य फ़ाइल में iptables लॉग हैं, अब उन्हें कैसे दिखाया जाए?

इसके लिए एक सरल बिल्ली पर्याप्त होगा:

cat /var/log/ulog/syslogemu.log

याद रखें, केवल अस्वीकृत पैकेट लॉग किए जाएंगे, यदि आपके पास एक वेब सर्वर (पोर्ट 80) है और इसमें iptables कॉन्फ़िगर किए गए हैं ताकि हर कोई इस वेब सेवा तक पहुंच सके, इससे संबंधित लॉग लॉग में सहेजे नहीं जाएंगे, हालांकि, यदि वे एक SSH सेवा है और iptables के माध्यम से उन्होंने पोर्ट 22 तक पहुंच को कॉन्फ़िगर किया है ताकि यह केवल एक विशिष्ट आईपी की अनुमति दे सके, अगर कोई भी आईपी 22 को एक्सेस करने की कोशिश करता है तो उसके अलावा कोई भी आईपी लॉग में सहेजा जाएगा।

मैं आपको यहां अपने लॉग से एक उदाहरण पंक्ति दिखाता हूं:

मंगलवार 4 22:29:02 exia IN=wlan0 OUT= MAC=00:19:d2:78:eb:47:00:1d:60:7b:b7:f6:08:00 SRC=10.10.0.1 DST=10.10.0.51 .60 LEN=00 TOS=0 PREC=00x64 TTL=12881 ID=37844 DF PROTO=TCP SPT=22 DPT=895081023 SEQ=0 ACK=14600 विंडो=0 SYN URGP=XNUMX

जैसा कि आप देख सकते हैं, एक्सेस के प्रयास की तिथि और समय, इंटरफ़ेस (मेरे मामले में वाईफाई), मैक एड्रेस, एक्सेस का स्रोत आईपी और साथ ही गंतव्य आईपी (मेरा), और कई अन्य डेटा जिनमें प्रोटोकॉल हैं ( टीसीपी) और गंतव्य बंदरगाह (22)। संक्षेप में, 10 मार्च को 29:4 बजे, आईपी 10.10.0.1 ने मेरे लैपटॉप के पोर्ट 22 (एसएसएच) को एक्सेस करने की कोशिश की, जब यह (यानी, मेरा लैपटॉप) आईपी 10.10.0.51 था, यह सब Wifi (wlan0) के माध्यम से हुआ।

जैसा कि आप देख सकते हैं... वास्तव में उपयोगी जानकारी 😉

वैसे भी, मुझे नहीं लगता कि कहने के लिए बहुत कुछ है। मैं अब तक iptables या ulogd का विशेषज्ञ नहीं हूं, लेकिन अगर किसी को इससे कोई समस्या है तो मुझे बताएं और मैं उनकी मदद करने की कोशिश करूंगा

अभिवादन 😀