Ulogd के साथ अलग फ़ाइल में iptables लॉग दिखा रहा है

यह पहली बार नहीं है जब हम बात करते हैं iptables, हम पहले ही उल्लेख कर चुके हैं कि नियम कैसे बनाए जाते हैं जब आप कंप्यूटर शुरू करते हैं तो iptables स्वचालित रूप से लागू हो जाते हैं, हम भी क्या समझाते हैं बुनियादी / मध्यम iptables पर, और कई अन्य चीजें 🙂

समस्या या झुंझलाहट जो हममें से जिन्हें iptables के बारे में पसंद है, वे हमेशा यह पाते हैं कि, iptables लॉग (अस्वीकार किए गए पैकेट की जानकारी) dmesg, kern.log या syslog फ़ाइलों में / var / log /, या दूसरे शब्दों में, इन फाइलों में न केवल iptables की जानकारी दिखाई जाती है, बल्कि बहुत सी अन्य जानकारी भी होती है, जिससे केवल iptables से संबंधित जानकारी को देखने में थोड़ी परेशानी होती है।

कुछ समय पहले हमने आपको दिखाया था कि कैसे iptables से दूसरे फ़ाइल में लॉग प्राप्त करेंहालाँकि ... मुझे यह स्वीकार करना होगा कि मैं व्यक्तिगत रूप से इस प्रक्रिया को थोड़ा जटिल मानता हूँ ^ - ^

फिर, IPtables को एक अलग फ़ाइल में कैसे प्राप्त करें और इसे यथासंभव सरल रखें?

समाधान है: उलझा हुआ

उलझा हुआ यह एक पैकेज है जिसे हमने स्थापित किया है (en डेबियन या डेरिवेटिव - »सुडो एप्ट-मिल स्थापित करें) और यह ठीक है कि मैं सिर्फ तुम्हें बताया था के लिए हमारी सेवा करेंगे।

इसे स्थापित करने के लिए आप जानते हैं, पैकेज देखें उलझा हुआ उनके भंडार में और इसे स्थापित करें, तो एक डेमन उन्हें जोड़ा जाएगा (/etc/init.d/ulogd) सिस्टम प्रारंभ होने पर, आप की तरह किसी भी KISS distro का उपयोग करता है, तो Archlinux जोड़ना चाहिए उलझा हुआ सिस्टम के साथ शुरू होने वाले डेमॉन के खंड में /etc/rc.conf

एक बार जब वे इसे स्थापित कर लेते हैं, तो उन्हें अपने iptables नियमों की स्क्रिप्ट में निम्नलिखित पंक्ति जोड़नी होगी:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

फिर अपने iptables रूल्स स्क्रिप्ट को फिर से चलाएं और वॉयला करें, सबकुछ काम करेगा ables

फ़ाइल में लॉग के लिए देखें: /var/log/ulog/syslogemu.log

इस फाइल में जिसका मैं उल्लेख करता हूं कि डिफॉल्ट रूप से ulogd रिजेक्टेड पैकेट लॉग को कैसे ढूंढता है, हालाँकि यदि आप चाहते हैं कि यह किसी अन्य फाइल में हो और इसमें आप लाइन # 53 को संशोधित नहीं कर सकते हैं /etc/ulogd.conf, वे बस उस लाइन को दिखाने वाली फ़ाइल का पथ बदलते हैं और फिर डेमॉन को पुनरारंभ करते हैं:

sudo /etc/init.d/ulogd restart

यदि आप उस फ़ाइल को बारीकी से देखते हैं, तो आप देखेंगे कि MySQL, SQLite या Postgre डेटाबेस में लॉग को सहेजने के विकल्प भी हैं, वास्तव में उदाहरण कॉन्फ़िगरेशन फ़ाइलें / usr / share / doc / ulogd / में हैं

ठीक है, हमारे पास पहले से ही एक और फ़ाइल में iptables लॉग हैं, अब उन्हें कैसे दिखाना है?

इसके लिए एक सरल बिल्ली पर्याप्त होगा:

cat /var/log/ulog/syslogemu.log

याद रखें, केवल अस्वीकृत पैकेट लॉग किए जाएंगे, यदि आपके पास एक वेब सर्वर (पोर्ट 80) है और इसमें iptables कॉन्फ़िगर किए गए हैं ताकि हर कोई इस वेब सेवा तक पहुंच सके, इससे संबंधित लॉग लॉग में सहेजे नहीं जाएंगे, हालांकि, यदि वे एक SSH सेवा है और iptables के माध्यम से उन्होंने पोर्ट 22 तक पहुंच को कॉन्फ़िगर किया है ताकि यह केवल एक विशिष्ट आईपी की अनुमति दे सके, अगर कोई भी आईपी 22 को एक्सेस करने की कोशिश करता है तो उसके अलावा कोई भी आईपी लॉग में सहेजा जाएगा।

मैं आपको यहां अपने लॉग से एक उदाहरण रेखा दिखाता हूं:

Mar 4 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1ST = 10.10.0.51 .60 LEN = 00 टीओएस = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 खिड़की = 0 SYN URGP = XNUMX

जैसा कि आप देख सकते हैं, एक्सेस के प्रयास की तिथि और समय, इंटरफ़ेस (मेरे मामले में वाईफाई), मैक एड्रेस, एक्सेस का स्रोत आईपी और साथ ही गंतव्य आईपी (मेरा), और कई अन्य डेटा जिनमें प्रोटोकॉल हैं ( टीसीपी) और गंतव्य बंदरगाह (22)। संक्षेप में, 10 मार्च को 29:4 बजे, आईपी 10.10.0.1 ने मेरे लैपटॉप के पोर्ट 22 (एसएसएच) को एक्सेस करने की कोशिश की, जब यह (यानी, मेरा लैपटॉप) आईपी 10.10.0.51 था, यह सब Wifi (wlan0) के माध्यम से हुआ।

जैसा कि आप देख सकते हैं ... वास्तव में उपयोगी जानकारी really

वैसे भी, मुझे नहीं लगता कि कहने के लिए बहुत कुछ है। मैं अब तक iptables या ulogd का विशेषज्ञ नहीं हूं, लेकिन अगर किसी को इससे कोई समस्या है तो मुझे बताएं और मैं उनकी मदद करने की कोशिश करूंगा

अभिवादन 😀