רישום כל הפעילות באמצעות iptables

איפטבליםכברירת מחדל יש לו את כלל המסנן במצב "קבל הכל", כלומר, הוא מאפשר להכניס ולצאת מכל החיבורים מהמחשב שלנו או אליו, אבל מה אם נרצה לתעד את כל המידע אודות החיבורים שנעשו לשרתים או למחשבים האישיים שלנו?

הערה: ההליך שאבצע כעת תקף ב 100% בהפצות דביאן/מבוסס דביאן, אז אם אתה משתמש סלאקוור, פדורה, CentOS, OpenSuSe, ייתכן שהפרוצדורה אינה זהה, אנו ממליצים לקרוא ולהבין את מערכת הכניסה להפצה שלך לפני שתחיל את ההסבר להלן. יש גם אפשרות להתקין rsyslog בהפצה שלך, אם זה זמין במאגרים, אם כי במדריך זה, הסבר של syslog מוסבר גם בסוף.

הכל טוב עד כה, אבל מהלאן אנחנו נכנסים? קל, בקובץ «/var/log/firewall/iptables.log", מה לא קיים, עד שנאמין בעצמנו ...

1- עלינו ליצור את הקובץ «iptables.log»בתוך התיקיה«/ var / log / firewall»שאנחנו חייבים ליצור אותו, כי גם זה לא קיים.

mkdir -p / var / log / firewall /
גע /var/log/firewall/iptables.log

2- אישורים, חשוב מאוד ...

chmod 600 /var/log/firewall/iptables.log
שורש הלבן: adm /var/log/firewall/iptables.log

3- rsyslog, דמון הכניסה של דביאן, קורא את התצורה מתוך «/etc/rsyslog.d«, אז עלינו ליצור קובץ שאקרא אליו«firewall.conf»שממנו ryslog יכול לפרש את מה שאנחנו רוצים לעשות.

גע /etc/rsyslog.d/firewall.conf

ובפנים אנחנו עוזבים אותו Caer בעדינות את התוכן הבא:

: msg, מכיל, "iptables:" - / var / log / firewall / iptables.log
& ~

אין לי שמץ של מושג,מה עושים כמה שורות אלה?

השורה הראשונה בודקת את הנתונים שנרשמו עבור המחרוזת «iptables: »ומוסיף אותו לקובץ«/var/log/firewall/iptables.log«

השני, מפסיק את עיבוד המידע שנרשם עם התבנית הקודמת כדי שלא ימשיך להישלח אל «/ var / log / הודעות".

4- סיבוב קובץ היומן, עם הושג.

עלינו ליצור בתוך «/etc/logrotate.d/" הקובץ "חומת אש»אשר יכיל את התוכן הבא:

/var/log/firewall/iptables.log
{
סובב 7
יומי
גודל 10M
טקסט נתונים
חסר
ליצור 600 שורשים
מודיעין
לדחוס
דחיסת דחיסה
לאחר הטיפול
הפעל-rc.d טען מחדש rsyslog> / dev / null
כתב קצה
}

על מנת לסובב את היומנים 7 פעמים לפני מחיקתם, פעם אחת ביום, גודל יומן מרבי 1MB, דחוס, מתוארך, מבלי לתת שגיאה אם ​​היומן אינו קיים, נוצר כשורש.

5- הפעל מחדש, כמו כל סוף שמח xD, את הדמון של rsyslog:

/etc/init.d/rsyslog הפעלה מחדש

איך להוכיח שכל מה שעובד?

בואו ננסה SSH.

להתקין OpenSSH (למקרה שלא יתקין אותו ...):

apt-get להתקין שרת openssh

לפני שנמשיך, עלינו לרוץ כשורש במסוף:

iptables -A INPUT -p tcp --dport 22 --syn -j LOG --log-prefix "iptables: " --log-level 4

ביצוע הצהרת iptables זו יתעד מספיק מידע כדי להראות שמה שעשינו אינו לשווא. במשפט זה אנו אומרים ל- iptables לרשום את כל המידע שמגיע אליו דרך יציאה 22. כדי לבדוק עם שירותים אחרים, פשוט שנה את מספר היציאה, כמו 3306 עבור MySQL, רק כדי להביא דוגמה, אם אתה רוצה מידע נוסף, קרא את המדריך המתועד היטב הזה ומתבסס על דוגמאות אופייניות לתצורות הנפוצות ביותר.

SSH משתמש ביציאה 22 כברירת מחדל, ולכן נבדוק איתו. לאחר התקנת openssh, אנו מתחברים אליו.

ssh pepe @ שרת בדיקה

כדי לראות את היומנים, עם זנב אתה פותר את הבעיה הזו:

זנב -f /var/log/firewall/iptables.log

Iptables, בדוגמה זו, מתעדים הכל, יום, שעה, ip, mac וכו ', מה שהופך אותו נהדר לניטור השרתים שלנו. קצת עזרה שלעולם לא כואבת.

עכשיו, שימו לב שאנחנו משתמשים בהפצה אחרת, כפי שאמרתי בהתחלה, משתמשים בה בדרך כלל rsyslog, או משהו דומה. אם ההפצה שלך משתמשת syslog, כדי לבצע את אותו תרגיל עלינו לערוך / לשנות מעט syslog.conf

ננו /etc/syslog.conf

הוסף ושמור את השורה הבאה:

kern.warning /var/log/firewall/iptables.log

ואז, אתה יודע, הסוף הטוב:

/etc/init.d/sysklogd הפעלה מחדש

תוצאה: זהה.

זהו זה לעת עתה, בפוסטים עתידיים נמשיך לשחק עם iptables.

הפניות:

כפה על iptables להיכנס לקובץ אחר

התחבר iptables לקובץ נפרד באמצעות rsyslog

מדריך תצורת Iptables על מערכות פדורה / RHEL