Prikazivanje dnevnika iptables u zasebnoj datoteci s ulogd

Nije prvi put da razgovaramo o tome iptables, već smo ranije spomenuli kako napraviti pravila za iptables se automatski implementiraju kada pokrenete računalo, mi također objašnjavamo što osnovno / srednje nad iptables, i nekoliko drugih stvari 🙂

Problem ili smetnja koju oni koji vole iptables uvijek pronađu je taj što su iptables dnevnici (odnosno podaci o odbijenim paketima) prikazani u datotekama dmesg, kern.log ili syslog iz / var / log /, ili Drugim riječima, ove datoteke ne samo da prikazuju podatke o iptables, već i puno drugih informacija, što čini pomalo zamorno vidjeti samo informacije povezane s iptables.

Prije nekog vremena pokazali smo vam kako prenesite zapisnike iz iptables u drugu datoteku, međutim ... Moram priznati da osobno smatram da je ovaj postupak pomalo složen ^ - ^

Zatim, Kako dobiti zapisnike iptables u zasebnu datoteku i to učiniti što jednostavnijim?

Rješenje je: ulogd

ulogd to je paket koji smo instalirali (en Debian ili derivati ​​- »sudo apt-get install ulogd) i služit će nam upravo za ovo što sam vam upravo rekao.

Da biste ga instalirali, potražite paket ulogd u svoje repoe i instaliraju ga, tada će im se dodati demon (/etc/init.d/ulogd) pri pokretanju sustava, ako koristite bilo koji distributer KISS-a poput ArchLinux treba dodati ulogd na dio demona koji započinju sa sustavom u /etc/rc.conf

Jednom kada ga instaliraju, u skriptu pravila iptables moraju dodati sljedeći redak:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Zatim ponovno pokrenite skriptu pravila iptables i voila, sve će raditi 😉

Potražite zapisnike u datoteci: /var/log/ulog/syslogemu.log

U ovoj datoteci koju spominjem mjesto je ulogd prema zadanim postavkama locira odbačene zapisnike paketa, međutim ako želite da on bude u drugoj datoteci, a ne u ovoj, možete izmijeniti redak # 53 /etc/ulogd.conf, oni samo promijene put datoteke koja prikazuje tu liniju, a zatim ponovno pokrenu demon:

sudo /etc/init.d/ulogd restart

Ako pažljivo pogledate tu datoteku, vidjet ćete da postoje mogućnosti čak i spremanja zapisnika u MySQL, SQLite ili Postgre bazu podataka, zapravo su primjeri konfiguracijskih datoteka u / usr / share / doc / ulogd /

Ok, iptables zapisnike već imamo u drugoj datoteci, kako ih sada prikazati?

Za ovo jednostavno kako bilo bi dovoljno:

cat /var/log/ulog/syslogemu.log

Zapamtite, evidentirat će se samo odbijeni paketi, ako imate web poslužitelj (port 80) i ako su iptables konfigurirani tako da svi mogu pristupiti ovoj web usluzi, zapisnici povezani s tim neće se spremiti u zapisnike, bez Međutim, ako imaju SSH uslugu i putem iptables-a konfigurirali su pristup portu 22 tako da dopušta samo određeni IP, u slučaju da bilo koji IP osim odabranog pokuša pristupiti 22, to će biti spremljeno u zapisnik.

Ovdje ću vam pokazati primjer retka iz mog dnevnika:

4. ožujka 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 PROZOR = 0 SYN URGP = XNUMX

Kao što vidite, datum i vrijeme pokušaja pristupa, sučelje (u mom slučaju wifi), MAC adresa, IP izvora pristupa kao i odredišna IP (moja) i nekoliko drugih podataka među kojima pronađeni su protokol (TCP) i odredišni port (22). Ukratko, u 10:29, 4. ožujka, IP 10.10.0.1 pokušao je pristupiti priključku 22 (SSH) mog prijenosnog računala kada je (to jest, moje prijenosno računalo) imao IP 10.10.0.51, sve to putem Wi-Fi-ja (wlan0)

Kao što vidite ... stvarno korisne informacije 😉

U svakom slučaju, mislim da se nema puno više za reći. Nisam daleko stručnjak za iptables ili ulogd, no ako netko ima problema s tim, javite mi i pokušat ću mu pomoći

Pozdrav 😀