מציג יומני iptables בקובץ נפרד עם ulogd

זו לא הפעם הראשונה שאנחנו מדברים עליה iptables, כבר הזכרנו קודם כיצד להכין כללים של iptables מיושמים אוטומטית בעת הפעלת המחשב, אנו גם מסבירים מה בסיסי / בינוני על גבי iptables, ועוד כמה דברים 🙂

הבעיה או הטרדנות שמי מאיתנו שאוהבים iptables תמיד מוצאים היא שיומני ה- iptables (כלומר המידע על החבילות שנדחו) מוצגים בקבצי dmesg, kern.log או syslog מ- / var / log /, או ב- אחר מילים, לא רק מידע ה- iptables מוצג בקבצים אלה, אלא גם מידע רב אחר, מה שמקשה קצת לראות רק את המידע הקשור ל- iptables.

לפני זמן מה הראינו לך איך לקבל את יומני ה- iptables לקובץ אחרעם זאת ... אני חייב להודות שאני אישית מוצא את התהליך הזה מעט מורכב ^ - ^

אז כיצד להביא את יומני ה- iptables לקובץ נפרד ולשמור עליו פשוט ככל האפשר?

הפיתרון הוא: אולוגד

אולוגד זו חבילה שהתקנו (en דביאן או נגזרות - »sudo apt-get install ulogd) וזה ישמש אותנו בדיוק בשביל זה שזה עתה אמרתי לך.

כדי להתקין אותו אתה יודע, חפש את החבילה אולוגד ברשימות החשבון שלהם והתקנו אותו, ואז יתווסף להם שד (/etc/init.d/ulogd) בעת הפעלת המערכת, אם אתה משתמש בהפצת KISS כלשהי ArchLinux צריך להוסיף אולוגד לקטע הדמונים שמתחיל עם המערכת ב /etc/rc.conf

לאחר התקנתם, עליהם להוסיף את השורה הבאה בסקריפט הכללים של iptables:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

ואז הפעל את סקריפט הכללים של iptables שלך שוב וואלה, הכל יעבוד 😉

חפש את היומנים בקובץ: /var/log/ulog/syslogemu.log

בקובץ זה שאזכר, המקום בו Ulogd כברירת מחדל מאתר את יומני החבילות שנדחו, אולם אם ברצונך שהוא יהיה בקובץ אחר ולא בזה תוכל לשנות את קו מס '53 ב /etc/ulogd.conf, הם פשוט משנים את נתיב הקובץ שמראה את השורה ואז מפעילים מחדש את הדמון:

sudo /etc/init.d/ulogd restart

אם תסתכל מקרוב על אותו קובץ תראה שיש אפשרויות אפילו לשמור את היומנים במסד נתונים MySQL, SQLite או Postgre, למעשה קבצי התצורה לדוגמה הם ב- / usr / share / doc / ulogd /

אוקי, יש לנו כבר את יומני ה- iptables בקובץ אחר, עכשיו איך להציג אותם?

בשביל זה פשוט חתול יספיק:

cat /var/log/ulog/syslogemu.log

זכור, רק מנות שנדחו יירשמו, אם יש לך שרת אינטרנט (יציאה 80) והגדרת iptables כך שכולם יוכלו לגשת לשירות אינטרנט זה, היומנים הקשורים לכך לא יישמרו ביומנים, ללא זאת עם זאת, אם הם יש להם שירות SSH ובאמצעות iptables הם הגדירו גישה ליציאה 22 כך שהיא מאפשרת רק IP ספציפי, אם כל IP שאינו הנבחר מנסה לגשת ל- 22 אז זה יישמר ביומן.

אני מראה לך כאן דוגמא לשורה מהיומן שלי:

4 במרץ 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 חלון = 0 SYN URGP = XNUMX

כפי שאתה יכול לראות, התאריך והשעה של ניסיון הגישה, הממשק (wifi במקרה שלי), כתובת ה- MAC, ה- IP של המקור של הגישה כמו גם ה- IP של היעד (שלי), ומספר נתונים אחרים ביניהם הם הפרוטוקול ( TCP) ונמל היעד (22). לסיכום, בשעה 10:29 ב -4 במרץ, IP 10.10.0.1 ניסה לגשת ליציאה 22 (SSH) של המחשב הנייד שלי כאשר (כלומר המחשב הנייד שלי) היה בעל ה- IP 10.10.0.51, כל זה באמצעות Wifi (wlan0)

כפי שאתה יכול לראות ... מידע ממש שימושי 😉

בכל מקרה, אני לא חושב שיש עוד הרבה מה לומר. אני בהחלט לא מומחה לטאפלטים או אולוגד, אולם אם למישהו יש בעיה עם זה יידע אותי ואנסה לעזור להם

ברכות 😀


9 תגובות, השאר את שלך

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   רנלופז 91 דיג'ו

    https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
    אני זוכר שעם המאמר הזה התחלתי לעקוב אחריהם .. היי ..

    1.    KZKG ^ גאארה דיג'ו

      תודה לך, כבוד שאתה עושה לי 😀

  2.   מטלטל דיג'ו

    האם ulogd הוא רק עבור iptables או שהוא כללי? מאפשר להגדיר ערוצים? כניסה לפי רשת?

    1.    KZKG ^ גאארה דיג'ו

      מאמין שזה רק עבור iptables, עם זאת, לזרוק "אדם ulogd" להיפטר ספקות.

      1.    מטלטל דיג'ו

        אתה צודק: "ulogd - שד הרישום של Netfilter Userspace"

  3.   MSX דיג'ו

    +1, נהדר לבטא!

    1.    KZKG ^ גאארה דיג'ו

      תודה, לבוא ממך שאינך מאלה שעושים הכי הרבה מחמאות זה אומר הרבה 🙂

      1.    MSX דיג'ו

        זה לא אומר שאני יודע יותר מכולם אלא שאני xD רגזני
        שוב תודה על הפוסט, בהתייחס למאמר הנוסף על משבר בלוגוספירת הלינוקס ההיספנית, פוסט זה שלך - מדבר על פוסטים טכניים - הוא בדיוק סוג הפוסט הדרוש בשפה הספרדית / קסטיליאנית.
        פוסטים טכניים איכותיים כאלה, מ- sysadmins, תמיד מתקבלים בברכה ועוברים ישר למועדפים 8)

        1.    KZKG ^ גאארה דיג'ו

          כן, האמת היא שמאמרים טכניים הם מה שצריך ... אני אף פעם לא מתעייף לומר את זה, למעשה כבר דיברתי על זה כאן - » https://blog.desdelinux.net/que-aporta-realmente-desdelinux-a-la-comunidad-global/

          בכל מקרה, שוב תודה ... אנסה להישאר ככה עם הודעות טכניות 😀

          לגבי