Az iptables naplók megjelenítése külön fájlban, az ulogd használatával

Nem először beszélünk róla iptables, már korábban említettük, hogyan kell megalkotni a szabályokat Az iptables a számítógép indításakor automatikusan megvalósul, azt is elmagyarázzuk, mit alap / közepes az iptables felett, és még sok más dolog 🙂

Azok a problémák vagy bosszúságok, amelyeket mindig szeretünk az iptables-ben, az, hogy az iptables naplók (vagyis az elutasított csomagokkal kapcsolatos információk) a dmesg, kern.log vagy syslog fájlokban jelennek meg a / var / log / vagy a Más fájlokban. szavakkal nem csak az iptables információ jelenik meg ezekben a fájlokban, hanem sok más információ is, ami kissé fárasztóvá teszi, hogy csak az iptables-hez kapcsolódó információkat lássuk.

Nem sokkal ezelőtt megmutattuk, hogyan töltse le a naplókat az iptables-ből egy másik fájlbaAzonban ... el kell ismernem, hogy én személy szerint egy kicsit összetettnek tartom ezt a folyamatot ^ - ^

Akkor, Hogyan lehet az iptables naplóit külön fájlba vinni és a lehető legegyszerűbben megtartani?

A megoldás: ulogd

ulogd ez egy csomag, amelyet telepítettünk (en Debian vagy származékai - »sudo apt-get install ulogd) és pontosan erre szolgál majd nekünk, amit most elmondtam.

Telepítéséhez ismerje meg a csomagot ulogd és telepítse, majd egy démon hozzáadódik hozzájuk (/etc/init.d/ulogd) a rendszer indításakor, ha bármilyen KISS disztrót használ ArchLinux hozzá kell adnia ulogd démonok azon szakaszára, amely a rendszerrel kezdődik /etc/rc.conf

Miután telepítette, hozzá kell adnia a következő sort az iptables szabályok szkriptjéhez:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Ezután futtassa újra az iptables rules szkriptet, és voila, minden működni fog 😉

Keresse meg a naplókat a fájlban: /var/log/ulog/syslogemu.log

Ebben a fájlban említem az alapértelmezett helyet, ahol az ulogd megtalálja az elutasított csomagnaplókat, azonban ha azt szeretné, hogy egy másik fájlban legyen, és nem ebben, akkor módosíthatja az 53. sort /etc/ulogd.conf, csak megváltoztatják az adott sort megjelenítő fájl elérési útját, majd újraindítják a démont:

sudo /etc/init.d/ulogd restart

Ha alaposan megnézi ezt a fájlt, látni fogja, hogy van még lehetőség a naplók mentésére egy MySQL, SQLite vagy Postgre adatbázisba, valójában a példa konfigurációs fájlok a / usr / share / doc / ulogd / könyvtárban találhatók.

Ok, már vannak egy másik fájlban az iptables naplók, most hogyan lehet ezeket megjeleníteni?

Ehhez egy egyszerű hogyan elegendő lenne:

cat /var/log/ulog/syslogemu.log

Ne feledje, hogy csak az elutasított csomagok kerülnek naplózásra, ha van webkiszolgálója (80-as port) és van konfigurálva az iptables, hogy mindenki hozzáférhessen ehhez a webszolgáltatáshoz, az ezzel kapcsolatos naplókat nem menti a naplók, anélkül azonban, hogy rendelkeznek SSH szolgáltatással, és az iptables segítségével úgy konfigurálták a 22-es port elérését, hogy az csak egy adott IP-t engedélyezzen, ha a kiválasztotton kívül bármelyik IP megpróbálja elérni a 22-et, akkor ez a naplóba kerül.

Mutatok itt egy példát a naplómból:

Március 4. 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 ABLAK = 0 SYN URGP = XNUMX

Amint láthatja, a hozzáférési kísérlet dátuma és ideje, az interfész (esetemben wifi), MAC-cím, a hozzáférés forrás-IP-je, valamint a cél-IP (az enyém), és számos más adat, amelyek között a protokoll (TCP ) és a célport (22) található. Összefoglalva: március 10-én 29: 4-kor az IP 10.10.0.1 megpróbálta elérni a laptopom 22. portját (SSH), amikor annak (vagyis a laptopomnak) az IP 10.10.0.51-es volt, mindezt a Wifi-n keresztül (wlan0).

Mint láthatja ... igazán hasznos információk 😉

Egyébként szerintem nincs sokkal több mondanivaló. Messze nem vagyok az iptables vagy az ulogd szakértője, de ha valakinek problémája van ezzel, szóljon nekem, és megpróbálok segíteni nekik

Üdvözlet 😀