IptablePrema zadanim postavkama ima pravilo filtra u načinu "Accept all", odnosno dopušta i isključuje sve veze s ili na naše računalo, ali što ako želimo evidentirati sve podatke o vezama na našim poslužiteljima ili osobnim računalima?
Napomena: Postupak koji ću sada izvršiti vrijedi 100% u distribucijama Debian/Zasnovan na Debianu, pa ako koristite Slackware, Fedora, CentOS, OpenSuSe, postupak možda nije isti, preporučujemo vam da pročitate i razumijete sustav prijave vaše distribucije prije primjene onoga što je objašnjeno u nastavku. Također postoji mogućnost instaliranja rsyslog-a u vašu distribuciju, ako je dostupan u spremištima, iako je u ovom vodiču syslog također objašnjen na kraju.
Zasad sve dobro, ali štoGdje ćemo se prijaviti? Jednostavno, u datoteci «/var/log/firewall/iptables.log", što ne postoji, dok sami ne povjerujemo ...
1- Moramo stvoriti datoteku «iptables.log»Unutar mape«/ var / log / firewall»Da ga moramo stvoriti, jer ni on ne postoji.
mkdir -p / var / log / firewall /
dodirnite /var/log/firewall/iptables.log
2- Dozvole, vrlo važno ...
chmod 600 /var/log/firewall/iptables.log
korijen chown: adm /var/log/firewall/iptables.log
3- rsyslog, Debian prijavni demon, čita konfiguraciju iz «/etc/rsyslog.d«, Pa moramo stvoriti datoteku koju ću nazvati«vatrozid.conf»Iz kojeg rsyslog može protumačiti što želimo učiniti.
dodirnite /etc/rsyslog.d/firewall.conf
A unutra ga ostavljamo caer nježno sljedeći sadržaj:
: msg, sadrži, "iptables:" - / var / log / firewall / iptables.log
& ~
Nemam ni najmanje ideje,što radi ovih par redaka?
Prvi redak provjerava zabilježene podatke za niz «iptables: »I dodaje u datoteku«/var/log/firewall/iptables.log«
Drugi, zaustavlja obradu podataka zabilježenih s prethodnim uzorkom, tako da se ne nastavlja slati na «/ var / log / messages”.
4- Rotiranje datoteke dnevnika, sa postignuto.
Moramo stvarati unutar «/etc/logrotate.d/" Datoteka "vatrozid»Koji će sadržavati sljedeći sadržaj:
/var/log/firewall/iptables.log
{
rotirati 7
svakodnevno
veličine 10M
datumext
nedostaje mi
stvoriti 600 korijena adm
nesvjestan
oblog
kašnjenje kompresije
postrotirati
invoke-rc.d rsyslog ponovno učitavanje> / dev / null
krajišnik
}
Da bi se dnevnici rotirali 7 puta prije nego što ih izbrišete, jednom dnevno, maksimalne veličine dnevnika 1 MB, komprimirano, datirano, bez davanja pogreške ako dnevnik ne postoji, stvoren kao root.
5- Ponovo pokrenite, kao i svi sretni završeci xD, demon rsyslog:
/etc/init.d/rsyslog ponovno pokretanje
Kako dokazati da sve to djeluje?
Pokušajmo sa SSH.
instalirati OpenSSH (u slučaju da ga nemaju instaliranog ...):
apt-get instalirajte openssh-poslužitelj
Prije nastavka moramo pokrenuti kao root u konzoli:
iptables -A INPUT -p tcp --dport 22 --syn -j LOG --log-prefix "iptables: " --log-level 4
Izvršenjem ove izjave iptables zapisat će se dovoljno podataka da se pokaže da ono što smo učinili nije uzalud. U ovoj rečenici kažemo iptablesu da evidentira sve informacije koje do njih dođu putem porta 22. Da biste testirali s drugim uslugama, samo promijenite broj porta, poput 3306 za MySQL, samo da navedemo primjer, ako želite više informacija, pročitajte ovaj vrlo dobro dokumentirani vodič i na temelju tipičnih primjera najčešće korištenih konfiguracija.
SSH prema zadanim postavkama koristi port 22, pa ćemo testirati s njim. Nakon što smo instalirali openssh, povezujemo se s njim.
ssh pepe @ test-poslužitelj
Da biste vidjeli trupce, rešite ovaj problem repom:
rep -f /var/log/firewall/iptables.log
Iptables, u ovom primjeru, bilježe sve, dan, vrijeme, ip, mac itd., Što ga čini izvrsnim za nadgledanje naših poslužitelja. Mala pomoć koja nikad ne škodi.
Uzimajući na znanje da koristimo još jedan distro, kao što sam rekao na početku, on se obično koristi rsyslog, ili nešto slično. Ako vaš distro koristi syslog, da bismo izveli istu vježbu moramo malo urediti / izmijeniti syslog.conf
nano /etc/syslog.conf
Dodajte i spremite sljedeći redak:
kern.upozorenje /var/log/firewall/iptables.log
A onda, znate, sretan kraj:
/etc/init.d/sysklogd ponovno pokretanje
Rezultat: isti.
To je za sada sve, u budućim ćemo se objavama i dalje igrati s iptablesima.
reference:
Prisilite iptables da se prijave u drugu datoteku
Prijavite iptables u zasebnu datoteku pomoću rsyslog
Vodič za konfiguraciju Iptables na Fedora / RHEL sustavima
Izvrsno ovaj «mini-priručnik» za BOFH koji radite malo po malo
Hvala, malo-pomalo davat ću detalje i podatke o prilagodljivim komponentama, koje sam morao znati iz svog rada, a koji nam ponekad trebaju i vrlo su slabo objašnjeni na Internetu, a sve od korisnika ... xD
Koristim priliku da vam poželim dobrodošlicu članu 😀
Zaista imate MNOGO doprinijeti, imate zaista napredno znanje o mrežama, sustavima, vatrozidima itd., Pa ću biti (jesam) jedan od mnogih čitatelja koje ćete imati hahaha.
Pozdrav i dobro ... znate, što god treba 😀
Radujem se tim stavkama ^^
Hajde Koratsuki, nisam znao da si posjećivao ovaj blog.
Usput, druga varijanta bilježenja aktivnosti vatrozida koristi paket ulogd, koji su napravili ljudi projekta netfilter kako bi se olakšalo odvajanje ove vrste tragova (omogućuje njihovo spremanje na različite načine). To je pristup koji obično koristim. Korištenje je jednostavno, na primjer:
iptables -A INPUT -p udp -m multiport ! --ports 53,67:68 -m state --state NEW -j ULOG --ulog-prefix "Solicitud UDP dudosa"
Morat ću dati F5 na post, odgovara mi Ulogd način rada, čak i MySQL zapisuje tip: D.
Dobar post, nastavi tako.
Pozdrav šefe, kako ide?
Možete li mi pružiti ruku?
Budući da ne dobivam tutorial i bistriji je od vode, ne znam gdje griješim