Apie tai kalbame ne pirmą kartą iptables, mes jau anksčiau minėjome, kaip sukurti taisykles „iptables“ automatiškai įdiegiami paleidus kompiuterį, taip pat paaiškiname ką pagrindinis / vidutinis per „iptables“ir keletas kitų dalykų 🙂
Problema ar susierzinimas, kurį mums visada patinka „iptables“, yra ta, kad „iptables“ žurnalai (ty atmestų paketų informacija) rodomi dmesg, kern.log arba syslog failuose / var / log /, arba Kitaip tariant, šiuose failuose rodoma ne tik „iptables“ informacija, bet ir daugybė kitos informacijos, todėl šiek tiek varginantis matyti tik su „iptables“ susijusią informaciją.
Prieš kurį laiką mes jums parodėme, kaip gauti žurnalus iš „iptables“ į kitą failą, tačiau ... turiu pripažinti, kad asmeniškai man šis procesas yra šiek tiek sudėtingas ^ - ^
Tada, Kaip gauti „iptables“ žurnalus į atskirą failą ir išlaikyti jį kuo paprastesnį?
Sprendimas yra toks: ulogd
ulogd tai paketas, kurį įdiegėme (en debian arba dariniai - »sudo apt-get install ulogd) ir tai pasitarnaus tam, ką aš ką tik jums sakiau.
Norėdami jį įdiegti žinote, ieškokite paketo ulogd jų repose ir įdiekite, tada prie jų bus pridėtas demonas (/etc/init.d/ulogd) paleidus sistemą, jei naudojate kokį nors panašų „KISS“ modelį „ArchLinux“ turėtų pridėti ulogd į demonų skyrių, kuris prasideda nuo sistemos /etc/rc.conf
Įdiegę, jie turi pridėti šią eilutę į „iptables“ taisyklių scenarijų:
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
Tada dar kartą paleiskite „iptables“ taisyklių scenarijų ir voila, viskas veiks 😉
Žurnalų ieškokite faile: /var/log/ulog/syslogemu.log
Šiame faile, kurį paminėjau, pagal numatytuosius nustatymus ulogd suranda atmestus paketų žurnalus, tačiau jei norite, kad jis būtų kitame faile, o ne šiame, galite modifikuoti 53 eilutę /etc/ulogd.conf, jie tiesiog pakeičia failo, kuriame rodoma ta eilutė, kelią ir iš naujo paleiskite demoną:
sudo /etc/init.d/ulogd restart
Atidžiai apžiūrėję tą failą pamatysite, kad yra galimybių net išsaugoti žurnalus „MySQL“, „SQLite“ ar „Postgre“ duomenų bazėje, iš tikrųjų konfigūracijos failų pavyzdžiai yra / usr / share / doc / ulogd /
Gerai, mes jau turime „iptables“ žurnalus kitame faile, dabar kaip juos parodyti?
Tam paprasta kaip pakaktų:
cat /var/log/ulog/syslogemu.log
Atminkite, kad bus užregistruoti tik atmesti paketai, jei turite žiniatinklio serverį (80 prievadą) ir turite „iptables“ sukonfigūruotą taip, kad visi galėtų prisijungti prie šios žiniatinklio paslaugos, su tuo susiję žurnalai nebus įrašomi į žurnalus, tačiau jei jie turėti SSH paslaugą ir per „iptables“ jie sukonfigūravo prieigą prie 22 prievado, kad jis leistų tik konkretų IP, jei bet kuris kitas nei pasirinktas IP bandys pasiekti 22, tai bus išsaugota žurnale.
Aš jums rodau pavyzdį iš savo žurnalo:
4 kovo 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 LANGAS = 0 SYN URGP = XNUMX
Kaip matote, bandymo prisijungti data ir laikas, sąsaja (mano atveju „wifi“), MAC adresas, prieigos šaltinio IP, taip pat paskirties IP (mano) ir keletas kitų duomenų, tarp kurių yra protokolas (TCP ) ir paskirties uostas (22). Apibendrinant galima sakyti, kad kovo 10 d., 29 val., IP 4 bandė patekti į savo nešiojamojo kompiuterio 10.10.0.1 prievadą (SSH), kai jis (ty mano nešiojamas kompiuteris) turėjo IP 22, visa tai per „Wifi“ (wlan10.10.0.51)
Kaip matote ... tikrai naudinga informacija 😉
Šiaip nemanau, kad yra ką daugiau pasakyti. Aš iki šiol nesu „iptables“ ar „ulogd“ ekspertas, tačiau jei kam nors kyla problemų, praneškite man ir aš stengsiuosi jiems padėti
Sveikinimai 😀
https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
Prisimenu, kad su tuo straipsniu pradėjau juos sekti .. hehe ..
Ačiū, garbė, kad darai mane 😀
ulogd tai tik iptables ar visuotinai? leidžia nustatyti kanalus? prisijungti prie tinklo?
Tikėkite, kad tai tik „iptables“, tačiau meskite „žmogaus ulogdą“, kad atsikratytumėte abejonių.
Jūs esate teisus: "ulogd - The Netfilter Userspace Logging Daemon"
+1, puikus žodis!
Ačiū, atėjęs iš tavęs, kuris nėra iš tų, kurie daro labiausiai glostymą, reiškia daug
Tai nereiškia, kad žinau daugiau nei bet kas, bet kad esu rūstus xD
Dar kartą ačiū už įrašą, nurodant kitą straipsnį apie ispaniško „Linux“ tinklaraščio krizę, šis jūsų įrašas - kalbant apie techninį postą - yra tik tokio tipo pranešimas, kurio reikia ispanų / kastiliečių kalba.
Tokie kokybiški techniniai pranešimai iš „sysadmins“ visada laukiami ir eikite tiesiai į mėgstamiausius 8)
Taip, tiesa yra ta, kad reikalingi techniniai straipsniai ... Nenuvargstu to sakyti, tiesą sakant, apie tai jau kalbėjau čia - » https://blog.desdelinux.net/que-aporta-realmente-desdelinux-a-la-comunidad-global/
Bet kokiu atveju, dar kartą ačiū ... Pabandysiu likti toks su techniniais įrašais 😀
saludos