Rodomi „iptables“ žurnalai atskirame faile su ulogd

Apie tai kalbame ne pirmą kartą iptables, mes jau anksčiau minėjome, kaip sukurti taisykles „iptables“ automatiškai įdiegiami paleidus kompiuterį, taip pat paaiškiname ką pagrindinis / vidutinis per „iptables“ir keletas kitų dalykų 🙂

Problema ar susierzinimas, kurį mums visada patinka „iptables“, yra ta, kad „iptables“ žurnalai (ty atmestų paketų informacija) rodomi dmesg, kern.log arba syslog failuose / var / log /, arba Kitaip tariant, šiuose failuose rodoma ne tik „iptables“ informacija, bet ir daugybė kitos informacijos, todėl šiek tiek varginantis matyti tik su „iptables“ susijusią informaciją.

Prieš kurį laiką mes jums parodėme, kaip gauti žurnalus iš „iptables“ į kitą failą, tačiau ... turiu pripažinti, kad asmeniškai man šis procesas yra šiek tiek sudėtingas ^ - ^

Tada, Kaip gauti „iptables“ žurnalus į atskirą failą ir išlaikyti jį kuo paprastesnį?

Sprendimas yra toks: ulogd

ulogd tai paketas, kurį įdiegėme (en debian arba dariniai - »sudo apt-get install ulogd) ir tai pasitarnaus tam, ką aš ką tik jums sakiau.

Norėdami jį įdiegti žinote, ieškokite paketo ulogd jų repose ir įdiekite, tada prie jų bus pridėtas demonas (/etc/init.d/ulogd) paleidus sistemą, jei naudojate kokį nors panašų „KISS“ modelį „ArchLinux“ turėtų pridėti ulogd į demonų skyrių, kuris prasideda nuo sistemos /etc/rc.conf

Įdiegę, jie turi pridėti šią eilutę į „iptables“ taisyklių scenarijų:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Tada dar kartą paleiskite „iptables“ taisyklių scenarijų ir voila, viskas veiks 😉

Žurnalų ieškokite faile: /var/log/ulog/syslogemu.log

Šiame faile, kurį paminėjau, pagal numatytuosius nustatymus ulogd suranda atmestus paketų žurnalus, tačiau jei norite, kad jis būtų kitame faile, o ne šiame, galite modifikuoti 53 eilutę /etc/ulogd.conf, jie tiesiog pakeičia failo, kuriame rodoma ta eilutė, kelią ir iš naujo paleiskite demoną:

sudo /etc/init.d/ulogd restart

Atidžiai apžiūrėję tą failą pamatysite, kad yra galimybių net išsaugoti žurnalus „MySQL“, „SQLite“ ar „Postgre“ duomenų bazėje, iš tikrųjų konfigūracijos failų pavyzdžiai yra / usr / share / doc / ulogd /

Gerai, mes jau turime „iptables“ žurnalus kitame faile, dabar kaip juos parodyti?

Tam paprasta kaip pakaktų:

cat /var/log/ulog/syslogemu.log

Atminkite, kad bus užregistruoti tik atmesti paketai, jei turite žiniatinklio serverį (80 prievadą) ir turite „iptables“ sukonfigūruotą taip, kad visi galėtų prisijungti prie šios žiniatinklio paslaugos, su tuo susiję žurnalai nebus įrašomi į žurnalus, tačiau jei jie turėti SSH paslaugą ir per „iptables“ jie sukonfigūravo prieigą prie 22 prievado, kad jis leistų tik konkretų IP, jei bet kuris kitas nei pasirinktas IP bandys pasiekti 22, tai bus išsaugota žurnale.

Aš jums rodau pavyzdį iš savo žurnalo:

4 kovo 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 LANGAS = 0 SYN URGP = XNUMX

Kaip matote, bandymo prisijungti data ir laikas, sąsaja (mano atveju „wifi“), MAC adresas, prieigos šaltinio IP, taip pat paskirties IP (mano) ir keletas kitų duomenų, tarp kurių yra protokolas (TCP ) ir paskirties uostas (22). Apibendrinant galima sakyti, kad kovo 10 d., 29 val., IP 4 bandė patekti į savo nešiojamojo kompiuterio 10.10.0.1 prievadą (SSH), kai jis (ty mano nešiojamas kompiuteris) turėjo IP 22, visa tai per „Wifi“ (wlan10.10.0.51)

Kaip matote ... tikrai naudinga informacija 😉

Šiaip nemanau, kad yra ką daugiau pasakyti. Aš iki šiol nesu „iptables“ ar „ulogd“ ekspertas, tačiau jei kam nors kyla problemų, praneškite man ir aš stengsiuosi jiems padėti

Sveikinimai 😀