זו לא הפעם הראשונה שאנחנו מדברים עליה iptables, כבר הזכרנו קודם כיצד להכין כללים של iptables מיושמים אוטומטית בעת הפעלת המחשב, אנו גם מסבירים מה בסיסי / בינוני על גבי iptables, ועוד כמה דברים 🙂
הבעיה או הטרדנות שמי מאיתנו שאוהבים iptables תמיד מוצאים היא שיומני ה- iptables (כלומר המידע על החבילות שנדחו) מוצגים בקבצי dmesg, kern.log או syslog מ- / var / log /, או ב- אחר מילים, לא רק מידע ה- iptables מוצג בקבצים אלה, אלא גם מידע רב אחר, מה שמקשה קצת לראות רק את המידע הקשור ל- iptables.
לפני זמן מה הראינו לך איך לקבל את יומני ה- iptables לקובץ אחרעם זאת ... אני חייב להודות שאני אישית מוצא את התהליך הזה מעט מורכב ^ - ^
אז כיצד להביא את יומני ה- iptables לקובץ נפרד ולשמור עליו פשוט ככל האפשר?
הפיתרון הוא: אולוגד
אולוגד זו חבילה שהתקנו (en דביאן או נגזרות - »sudo apt-get install ulogd) וזה ישמש אותנו בדיוק בשביל זה שזה עתה אמרתי לך.
כדי להתקין אותו אתה יודע, חפש את החבילה אולוגד ברשימות החשבון שלהם והתקנו אותו, ואז יתווסף להם שד (/etc/init.d/ulogd) בעת הפעלת המערכת, אם אתה משתמש בהפצת KISS כלשהי ArchLinux צריך להוסיף אולוגד לקטע הדמונים שמתחיל עם המערכת ב /etc/rc.conf
לאחר התקנתם, עליהם להוסיף את השורה הבאה בסקריפט הכללים של iptables:
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
ואז הפעל את סקריפט הכללים של iptables שלך שוב וואלה, הכל יעבוד 😉
חפש את היומנים בקובץ: /var/log/ulog/syslogemu.log
בקובץ זה שאזכר, המקום בו Ulogd כברירת מחדל מאתר את יומני החבילות שנדחו, אולם אם ברצונך שהוא יהיה בקובץ אחר ולא בזה תוכל לשנות את קו מס '53 ב /etc/ulogd.conf, הם פשוט משנים את נתיב הקובץ שמראה את השורה ואז מפעילים מחדש את הדמון:
sudo /etc/init.d/ulogd restart
אם תסתכל מקרוב על אותו קובץ תראה שיש אפשרויות אפילו לשמור את היומנים במסד נתונים MySQL, SQLite או Postgre, למעשה קבצי התצורה לדוגמה הם ב- / usr / share / doc / ulogd /
אוקי, יש לנו כבר את יומני ה- iptables בקובץ אחר, עכשיו איך להציג אותם?
בשביל זה פשוט חתול יספיק:
cat /var/log/ulog/syslogemu.log
זכור, רק מנות שנדחו יירשמו, אם יש לך שרת אינטרנט (יציאה 80) והגדרת iptables כך שכולם יוכלו לגשת לשירות אינטרנט זה, היומנים הקשורים לכך לא יישמרו ביומנים, ללא זאת עם זאת, אם הם יש להם שירות SSH ובאמצעות iptables הם הגדירו גישה ליציאה 22 כך שהיא מאפשרת רק IP ספציפי, אם כל IP שאינו הנבחר מנסה לגשת ל- 22 אז זה יישמר ביומן.
אני מראה לך כאן דוגמא לשורה מהיומן שלי:
4 במרץ 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 חלון = 0 SYN URGP = XNUMX
כפי שאתה יכול לראות, התאריך והשעה של ניסיון הגישה, הממשק (wifi במקרה שלי), כתובת ה- MAC, ה- IP של המקור של הגישה כמו גם ה- IP של היעד (שלי), ומספר נתונים אחרים ביניהם הם הפרוטוקול ( TCP) ונמל היעד (22). לסיכום, בשעה 10:29 ב -4 במרץ, IP 10.10.0.1 ניסה לגשת ליציאה 22 (SSH) של המחשב הנייד שלי כאשר (כלומר המחשב הנייד שלי) היה בעל ה- IP 10.10.0.51, כל זה באמצעות Wifi (wlan0)
כפי שאתה יכול לראות ... מידע ממש שימושי 😉
בכל מקרה, אני לא חושב שיש עוד הרבה מה לומר. אני בהחלט לא מומחה לטאפלטים או אולוגד, אולם אם למישהו יש בעיה עם זה יידע אותי ואנסה לעזור להם
ברכות 😀
https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
אני זוכר שעם המאמר הזה התחלתי לעקוב אחריהם .. היי ..
תודה לך, כבוד שאתה עושה לי 😀
האם ulogd הוא רק עבור iptables או שהוא כללי? מאפשר להגדיר ערוצים? כניסה לפי רשת?
מאמין שזה רק עבור iptables, עם זאת, לזרוק "אדם ulogd" להיפטר ספקות.
אתה צודק: "ulogd - שד הרישום של Netfilter Userspace"
+1, נהדר לבטא!
תודה, לבוא ממך שאינך מאלה שעושים הכי הרבה מחמאות זה אומר הרבה 🙂
זה לא אומר שאני יודע יותר מכולם אלא שאני xD רגזני
שוב תודה על הפוסט, בהתייחס למאמר הנוסף על משבר בלוגוספירת הלינוקס ההיספנית, פוסט זה שלך - מדבר על פוסטים טכניים - הוא בדיוק סוג הפוסט הדרוש בשפה הספרדית / קסטיליאנית.
פוסטים טכניים איכותיים כאלה, מ- sysadmins, תמיד מתקבלים בברכה ועוברים ישר למועדפים 8)
כן, האמת היא שמאמרים טכניים הם מה שצריך ... אני אף פעם לא מתעייף לומר את זה, למעשה כבר דיברתי על זה כאן - » https://blog.desdelinux.net/que-aporta-realmente-desdelinux-a-la-comunidad-global/
בכל מקרה, שוב תודה ... אנסה להישאר ככה עם הודעות טכניות 😀
לגבי