רישום כל הפעילות באמצעות iptables

איפטבליםכברירת מחדל יש לו את כלל המסנן במצב "קבל הכל", כלומר, הוא מאפשר להכניס ולצאת מכל החיבורים מהמחשב שלנו או אליו, אבל מה אם נרצה לתעד את כל המידע אודות החיבורים שנעשו לשרתים או למחשבים האישיים שלנו?

 

 

הערה: ההליך שאבצע כעת תקף ב 100% בהפצות דביאן/מבוסס דביאן, אז אם אתה משתמש סלאקוור, פדורה, CentOS, OpenSuSe, ייתכן שהפרוצדורה אינה זהה, אנו ממליצים לקרוא ולהבין את מערכת הכניסה להפצה שלך לפני שתחיל את ההסבר להלן. יש גם אפשרות להתקין rsyslog בהפצה שלך, אם זה זמין במאגרים, אם כי במדריך זה, הסבר של syslog מוסבר גם בסוף.

הכל טוב עד כה, אבל מהלאן אנחנו נכנסים? קל, בקובץ «/var/log/firewall/iptables.log", מה לא קיים, עד שנאמין בעצמנו ...

1- עלינו ליצור את הקובץ «iptables.log»בתוך התיקיה«/ var / log / firewall»שאנחנו חייבים ליצור אותו, כי גם זה לא קיים.

mkdir -p / var / log / firewall /
גע /var/log/firewall/iptables.log

2- אישורים, חשוב מאוד ...

chmod 600 /var/log/firewall/iptables.log
שורש הלבן: adm /var/log/firewall/iptables.log

3- Rsyslog, דמון הכניסה של דביאן, קורא את התצורה מתוך «/etc/rsyslog.d«, אז עלינו ליצור קובץ שאקרא אליו«firewall.conf»שממנו ryslog יכול לפרש את מה שאנחנו רוצים לעשות.

גע /etc/rsyslog.d/firewall.conf

ובפנים אנחנו עוזבים אותו Caer בעדינות את התוכן הבא:

: msg, מכיל, "iptables:" - / var / log / firewall / iptables.log
& ~

אין לי שמץ של מושג,מה עושים כמה שורות אלה?

השורה הראשונה בודקת את הנתונים שנרשמו עבור המחרוזת «iptables: »ומוסיף אותו לקובץ«/var/log/firewall/iptables.log«

השני, מפסיק את עיבוד המידע שנרשם עם התבנית הקודמת כדי שלא ימשיך להישלח אל «/ var / log / הודעות".

4- סיבוב קובץ היומן, עם הושג.

עלינו ליצור בתוך «/etc/logrotate.d/" הקובץ "חומת אש»אשר יכיל את התוכן הבא:

/var/log/firewall/iptables.log
{
סובב 7
יומי
גודל 10M
טקסט נתונים
חסר
ליצור 600 שורשים
מודיעין
לדחוס
דחיסת דחיסה
לאחר הטיפול
הפעל-rc.d טען מחדש rsyslog> / dev / null
כתב קצה
}

על מנת לסובב את היומנים 7 פעמים לפני מחיקתם, פעם אחת ביום, גודל יומן מרבי 1MB, דחוס, מתוארך, מבלי לתת שגיאה אם ​​היומן אינו קיים, נוצר כשורש.

5- הפעל מחדש, כמו כל סוף שמח xD, את הדמון של rsyslog:

/etc/init.d/rsyslog הפעלה מחדש

איך להוכיח שכל מה שעובד?

בואו ננסה SSH.

להתקין OpenSSH (למקרה שלא יתקין אותו ...):

apt-get להתקין שרת openssh

לפני שנמשיך, עלינו לרוץ כשורש במסוף:

iptables -A INPUT -p tcp --dport 22 --syn -j LOG --log-prefix "iptables: " --log-level 4

ביצוע הצהרת iptables זו יתעד מספיק מידע כדי להראות שמה שעשינו אינו לשווא. במשפט זה אנו אומרים ל- iptables לרשום את כל המידע שמגיע אליו דרך יציאה 22. כדי לבדוק עם שירותים אחרים, פשוט שנה את מספר היציאה, כמו 3306 עבור MySQL, רק כדי להביא דוגמה, אם אתה רוצה מידע נוסף, קרא את המדריך המתועד היטב הזה ומתבסס על דוגמאות אופייניות לתצורות הנפוצות ביותר.

SSH משתמש ביציאה 22 כברירת מחדל, ולכן נבדוק איתו. לאחר התקנת openssh, אנו מתחברים אליו.

ssh pepe @ שרת בדיקה

כדי לראות את היומנים, עם זנב אתה פותר את הבעיה הזו:

זנב -f /var/log/firewall/iptables.log

Iptables, בדוגמה זו, מתעדים הכל, יום, שעה, ip, mac וכו ', מה שהופך אותו נהדר לניטור השרתים שלנו. קצת עזרה שלעולם לא כואבת.

עכשיו, שימו לב שאנחנו משתמשים בהפצה אחרת, כפי שאמרתי בהתחלה, משתמשים בה בדרך כלל rsyslog, או משהו דומה. אם ההפצה שלך משתמשת syslog, כדי לבצע את אותו תרגיל עלינו לערוך / לשנות מעט syslog.conf

ננו /etc/syslog.conf

הוסף ושמור את השורה הבאה:

kern.warning /var/log/firewall/iptables.log

ואז, אתה יודע, הסוף הטוב:

/etc/init.d/sysklogd הפעלה מחדש

תוצאה: זהה.

זהו זה לעת עתה, בפוסטים עתידיים נמשיך לשחק עם iptables.

הפניות:

כפה על iptables להיכנס לקובץ אחר

התחבר iptables לקובץ נפרד באמצעות rsyslog

מדריך תצורת Iptables על מערכות פדורה / RHEL


תוכן המאמר עומד בעקרונותינו של אתיקה עריכתית. כדי לדווח על שגיאה לחץ כאן.

8 תגובות, השאר את שלך

השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.

  1.   פרארי גוארדיה דיג'ו

    נהדר זה "מיני-מדריך" עבור BOFH שאתה עושה לאט לאט

  2.   קוראצוקי דיג'ו

    תודה, לאט לאט אני אתן פרטים ונתונים על iptables, שהייתי צריך לדעת מעבודתי, שלעתים אנו זקוקים להם ומוסברים בצורה גרועה מאוד באינטרנט, הכל על ידי המשתמש ...

    1.    KZKG ^ גאארה דיג'ו

      אני מנצל הזדמנות זו כדי לקבל את פניך חבר 😀
      באמת יש לך הרבה מה לתרום, יש לך ידע מתקדם באמת ברשתות, מערכות, חומות אש וכו ', אז אהיה (אני כבר) אחד מהקוראים הרבים שיהיה לך חחחח.

      ברכות ובכן ... אתה יודע, כל מה שצריך 😀

    2.    איזר דיג'ו

      אני מצפה לפריטים האלה ^^

  3.   הוגו דיג'ו

    יאללה קוראצוקי, לא ידעתי שאתה מבקר בבלוג הזה.

    אגב, גרסה אחרת של רישום פעילות חומת האש היא השימוש בחבילה אולוגד, שמיוצר על ידי אנשי פרויקט netfilter כדי להקל על הפרדת עקבות מסוג זה (מאפשר להצילם בדרכים שונות). זו הגישה שאני נוהגת להשתמש בה. השימוש בו קל, למשל:

    iptables -A INPUT -p udp -m multiport ! --ports 53,67:68 -m state --state NEW -j ULOG --ulog-prefix "Solicitud UDP dudosa"

  4.   קוראצוקי דיג'ו

    אצטרך לתת F5 לפוסט, דרך העבודה של Ulogd מתאימה לי, אפילו MySQL רושם את הסוג: D.

  5.   MSX דיג'ו

    פוסט טוב, המשך כך.

  6.   צ'ינולוקו דיג'ו

    שלום בוס, איך זה הולך?
    אתה יכול לעזור לי?
    מכיוון שאיני מקבל את ההדרכה והיא ברורה יותר ממים, אינני יודע היכן אני טועה