Menampilkan log iptables dalam file terpisah dengan ulogd

Ini bukan pertama kalinya kami membicarakannya iptables, kami telah menyebutkan sebelumnya bagaimana membuat aturan iptables secara otomatis diimplementasikan saat Anda menyalakan komputer, kami juga menjelaskan apa dasar / media di atas iptables, dan beberapa hal lainnya 🙂

Masalah atau gangguan yang selalu ditemukan oleh kita yang menyukai iptables adalah, log iptables (yaitu informasi paket yang ditolak) ditampilkan di file dmesg, kern.log atau syslog dari / var / log /, atau Dengan kata lain, tidak hanya informasi iptables yang ditampilkan di file-file ini, tetapi juga banyak informasi lainnya, sehingga agak membosankan untuk hanya melihat informasi yang terkait dengan iptables.

Beberapa waktu yang lalu kami tunjukkan caranya dapatkan log dari iptables ke file lain, namun ... Saya harus mengakui bahwa secara pribadi menurut saya proses ini agak rumit ^ - ^

Kemudian, Bagaimana cara mendapatkan log iptables ke file terpisah dan membuatnya sesederhana mungkin?

Solusinya adalah: ulogd

ulogd itu adalah paket yang kami pasang (en Debian atau turunannya - »sudo apt-get install ulogd) dan itu akan melayani kita persis untuk ini yang baru saja saya katakan.

Untuk menginstalnya lho, cari paketnya ulogd di repositori mereka dan menginstalnya, maka daemon akan ditambahkan ke mereka (/etc/init.d/ulogd) pada startup sistem, jika Anda menggunakan distro KISS seperti Archlinux harus menambahkan ulogd ke bagian daemon yang dimulai dengan sistem dalam /etc/rc.conf

Setelah mereka menginstalnya, mereka harus menambahkan baris berikut di skrip aturan iptables mereka:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Kemudian jalankan skrip aturan iptables Anda lagi dan voila, semuanya akan berfungsi 😉

Cari log di file: /var/log/ulog/syslogemu.log

Dalam file ini yang saya sebutkan adalah di mana secara default ulogd menempatkan log paket yang ditolak, namun jika Anda ingin berada di file lain dan tidak dalam hal ini, Anda dapat mengubah baris # 53 di /etc/ulogd.conf, mereka hanya mengubah jalur file yang menampilkan baris tersebut dan kemudian restart daemon:

sudo /etc/init.d/ulogd restart

Jika Anda melihat lebih dekat pada file itu, Anda akan melihat bahwa ada pilihan untuk menyimpan log di database MySQL, SQLite atau Postgre, sebenarnya contoh file konfigurasi ada di / usr / share / doc / ulogd /

Ok, kita sudah memiliki log iptables di file lain, sekarang bagaimana cara menampilkannya?

Untuk ini sederhana kucing sudah cukup:

cat /var/log/ulog/syslogemu.log

Ingat, hanya paket yang ditolak yang akan dicatat, jika Anda memiliki server web (port 80) dan memiliki iptables yang dikonfigurasi sehingga semua orang dapat mengakses layanan web ini, log yang terkait dengan ini tidak akan disimpan dalam log, tanpa Namun, jika mereka memiliki layanan SSH dan melalui iptables mereka mengonfigurasi akses ke port 22 sehingga hanya mengizinkan IP tertentu, jika ada IP selain yang dipilih mencoba mengakses 22 maka ini akan disimpan di log.

Saya tunjukkan di sini contoh baris dari log saya:

Mar 4 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 JENDELA = 0 SYN URGP = XNUMX

Seperti yang Anda lihat, tanggal dan waktu upaya akses, antarmuka (wifi dalam kasus saya), alamat MAC, IP sumber akses serta IP tujuan (milik saya), dan beberapa data lain di antaranya adalah protokol (TCP ) dan port tujuan (22) ditemukan. Singkatnya, pada pukul 10:29 tanggal 4 Maret, IP 10.10.0.1 mencoba mengakses port 22 (SSH) laptop saya ketika (yaitu, laptop saya) memiliki IP 10.10.0.51, semua ini melalui Wifi (wlan0)

Seperti yang Anda lihat ... informasi yang sangat berguna 😉

Bagaimanapun, menurutku tidak banyak lagi yang bisa dikatakan. Saya sejauh ini bukan ahli dalam iptables atau ulogd, namun jika ada yang memiliki masalah dengan ini beri tahu saya dan saya akan mencoba membantu mereka

Salam 😀