Visualizzazione dei log di iptables in un file separato con ulogd

Non è la prima volta che ne parliamo iptables, abbiamo già menzionato prima come stabilire regole di iptables vengono implementati automaticamente all'avvio del computer, spieghiamo anche cosa base / medio su iptablese molte altre cose 🙂

Il problema o il fastidio che quelli di noi a cui piacciono iptables trovano sempre è che i log di iptables (cioè le informazioni dei pacchetti rifiutati) vengono mostrati nei file dmesg, kern.log o syslog di / var / log /, o In altre parole, non solo le informazioni di iptables sono mostrate in questi file, ma anche molte altre informazioni, rendendo un po 'noioso vedere solo le informazioni relative a iptables.

Tempo fa vi abbiamo mostrato come ottenere i log da iptables a un altro file, tuttavia ... devo ammettere che personalmente trovo questo processo un po 'complesso ^ - ^

Poi, Come ottenere i log di iptables in un file separato e mantenerlo il più semplice possibile?

La soluzione è: ulogd

ulogd è un pacchetto che abbiamo installato (en Debian o derivati ​​- »sudo apt-get install ulogd) e ci servirà proprio per quello che ti ho appena detto.

Per installarlo, sai, cerca il pacchetto ulogd nei loro repository e installarlo, quindi verrà aggiunto un demone (/etc/init.d/ulogd) all'avvio del sistema, se usi una distribuzione KISS come ArchLinux dovrebbe aggiungere ulogd alla sezione dei daemon che iniziano con il sistema in /etc/rc.conf

Una volta installato, devono aggiungere la seguente riga nel loro script delle regole di iptables:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Quindi esegui di nuovo lo script delle regole di iptables e voilà, tutto funzionerà 😉

Cerca i log nel file: /var/log/ulog/syslogemu.log

In questo file che ho citato è dove di default ulogd individua i log dei pacchetti rifiutati, tuttavia se vuoi che sia in un altro file e non in questo puoi modificare la riga # 53 in /etc/ulogd.conf, cambiano semplicemente il percorso del file che mostra quella riga e quindi riavviano il demone:

sudo /etc/init.d/ulogd restart

Se guardi attentamente quel file vedrai che ci sono opzioni per salvare anche i log in un database MySQL, SQLite o Postgre, infatti i file di configurazione di esempio si trovano in / usr / share / doc / ulogd /

Ok, abbiamo già i log di iptables in un altro file, ora come mostrarli?

Per questo un semplice gatto sarebbe sufficiente:

cat /var/log/ulog/syslogemu.log

Ricorda, verranno registrati solo i pacchetti rifiutati, se hai un server web (porta 80) e hai iptables configurato in modo che tutti possano accedere a questo servizio web, i log relativi a questo non verranno salvati nei log, senza Tuttavia, se lo sono hanno un servizio SSH e tramite iptables hanno configurato l'accesso alla porta 22 in modo che permetta solo un IP specifico, nel caso in cui qualsiasi IP diverso da quello scelto tenti di accedere alla 22, questo verrà salvato nel log.

Ti mostro qui una riga di esempio dal mio registro:

4 marzo 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 WINDOW = 0 SYN URGP = XNUMX

Come puoi vedere, la data e l'ora del tentativo di accesso, l'interfaccia (Wi-Fi nel mio caso), l'indirizzo MAC, l'IP di origine dell'accesso nonché l'IP di destinazione (il mio) e vari altri dati tra cui il protocollo (TCP) e la porta di destinazione (22) vengono trovati. In sintesi, alle 10:29 del 4 marzo, IP 10.10.0.1 ha provato ad accedere alla porta 22 (SSH) del mio laptop quando (cioè il mio laptop) aveva l'IP 10.10.0.51, tutto questo tramite Wifi (wlan0)

Come puoi vedere ... informazioni davvero utili 😉

Comunque, non credo ci sia molto altro da dire. Non sono di gran lunga un esperto di iptables o ulogd, tuttavia se qualcuno ha un problema con questo fammelo sapere e cercherò di aiutarlo

Saluti 😀