„Iptables“Pagal numatytuosius nustatymus filtro taisyklė yra „Priimti viską“ režime, tai yra, ji leidžia įeiti ir išjungti visas jungtis iš mūsų kompiuterio arba į mūsų kompiuterį, bet ką daryti, jei norime registruoti visą informaciją apie ryšius, atliktus prie mūsų serverių ar kompiuterių?
Pastaba: procedūra, kurią dabar atliksiu, paskirstymuose galioja 100% debian/„Debian“ pagrindu, taigi, jei naudojate Slackware, Minkšta fetrinė skrybėlė, Centos, „OpenSuSe“, procedūra gali būti ne ta pati, prieš taikydami tai, kas paaiškinta toliau, rekomenduojame perskaityti ir suprasti savo platinimo prisijungimo sistemą. Taip pat yra galimybė įdiegti rsyslog į jūsų platinimą, jei jis yra prieinamas saugyklose, nors šioje pamokoje syslog taip pat paaiškinamas pabaigoje.
Kol kas viskas gerai, bet kąKur mes prisijungsime? Lengva, faile «/var/log/firewall/iptables.log", ką neegzistuoja, kol patys tuo netikėsime ...
1- Turime sukurti failą «iptables.log»Aplanko viduje«/ var / log / ugniasienė»Tai turime sukurti, nes jo taip pat nėra.
mkdir -p / var / log / ugniasienė /
palieskite /var/log/firewall/iptables.log
2- Leidimai, labai svarbu ...
chmod 600 /var/log/firewall/iptables.log
chown šaknis: adm /var/log/firewall/iptables.log
3- rsyslog, Debian prisijungimo deimonas, nuskaito konfigūraciją iš «/etc/rsyslog.d«, Taigi turime sukurti failą, kurį pavadinsiu«ugniasienė.conf»Iš kurio„ rsyslog “galite suprasti, ką mes norime padaryti.
palieskite /etc/rsyslog.d/firewall.conf
Ir viduje mes jį paliekame caer švelniai nurodykite šį turinį:
: msg, yra, "iptables:" - / var / log / firewall / iptables.log
& ~
Neturiu nė menkiausios idėjos,ką daro šios poros eilučių?
Pirmoje eilutėje tikrinama, ar užregistruoti duomenys yra eilutėje «„iptables“: »Ir prideda jį prie bylos«/var/log/firewall/iptables.log«
Antrasis sustabdo informacijos, prisijungusios pagal ankstesnį modelį, apdorojimą, kad ji ir toliau nebūtų siunčiama «/ var / log / žinutės"
4- Žurnalo failo sukimas su pasiekti.
Turime sukurti per/etc/logrotate.d/" failas "užkarda»Kuris bus toks turinys:
/var/log/firewall/iptables.log
{
pasukti 7
kasdien
dydis 10M
datos tekstas
trūksta
sukurti 600 šaknų adm
nepranešęs
suspausti
vėlavimo kompresas
postrotuoti
invoke-rc.d rsyslog reload> / dev / null
galinis indeksas
}
Norint pasukti žurnalus 7 kartus prieš juos ištrinant, 1 kartą per dieną, maksimalus žurnalo dydis 10 MB, suspaustas, su data, nedarant klaidos, jei žurnalo nėra, sukurtas kaip root.
5- Paleiskite „rsyslog“ deemoną, kaip ir visas „happy end xD“:
/etc/init.d/rsyslog paleiskite iš naujo
Kaip įrodyti, kad visa tai veikia?
Pabandykime SSH.
Įrengti OpenSSH (jei jie to neįdiegė ...):
apt-get install openssh-serverį
Prieš tęsdami, konsolėje turime paleisti kaip root:
iptables -A INPUT -p tcp --dport 22 --syn -j LOG --log-prefix "iptables: " --log-level 4
Vykdydami šį „iptables“ teiginį, užregistruosite pakankamai informacijos, kad parodytumėte, jog tai, ką mes padarėme, nėra veltui. Šiame sakinyje sakome „iptables“ registruoti visą informaciją, pasiekiančią jį per 22 prievadą. Norėdami išbandyti naudodamiesi kitomis paslaugomis, tiesiog pakeiskite prievado numerį, pvz., „MySQL“ 3306, tik nurodydami pavyzdį, jei norite gauti daugiau informacijos, perskaitykite šią labai gerai dokumentuotą pamoką ir remiantis tipiniais dažniausiai naudojamų konfigūracijų pavyzdžiais.
SSH pagal numatytuosius nustatymus naudoja 22 prievadą, todėl mes jį išbandysime. Įdiegę „opensh“, mes prisijungiame prie jo.
„ssh pepe @ test-server“
Norėdami pamatyti žurnalus, uodega išspręskite šią problemą:
uodega -f /var/log/firewall/iptables.log
Šiame pavyzdyje „Iptables“ registruoja viską, dieną, laiką, „ip“, „Mac“ ir kt., Todėl tai puikiai tinka mūsų serverių stebėjimui. Šiek tiek pagalbos, kuri niekada neskauda.
Dabar, atsižvelgdamas į tai, kad mes naudojame kitą platintoją, kaip sakiau pradžioje, jis paprastai naudojamas rsyslog, ar kažkas panašaus. Jei jūsų platintojas naudoja sistemos dienoraštis, norėdami atlikti tą patį pratimą, turime šiek tiek redaguoti / modifikuoti syslog.conf
nano /etc/syslog.conf
Pridėkite ir išsaugokite šią eilutę:
kern.warning /var/log/firewall/iptables.log
Ir tada, žinote, laiminga pabaiga:
/etc/init.d/sysklogd paleiskite iš naujo
Rezultatas: tas pats.
Šiuo metu viskas, būsimuose įrašuose mes ir toliau žaisime su „iptables“.
Nuorodos:
Priversti „iptables“ prisijungti prie kito failo
Prisijungti „iptables“ į atskirą failą su „rsyslog“
„Iptables“ konfigūravimo pamoka apie „Fedora“ / RHEL sistemas
Puiku šis „mini vadovas“ BOFH, kurį darote po truputį
Ačiū, po truputį pateiksiu „iptables“ duomenis ir duomenis, kuriuos turėjau žinoti iš savo darbo, kurie kartais mums reikalingi ir kuriuos vartotojas labai prastai paaiškina internete. XD
Naudojuosi proga pasveikinti jus nariu 😀
Jūs tikrai turite daug prisidėti, turite tikrai pažangių žinių apie tinklus, sistemas, užkardas ir pan., Todėl aš būsiu (aš jau esu) vienas iš daugelio skaitytojų, kuriuos turėsite hahaha.
Sveikinimai ir gerai ... žinote, ko reikia it
Nekantriai laukiu tų daiktų ^^
Nagi Koratsuki, aš nežinojau, kad lankėtės šiame tinklaraštyje.
Beje, kitas ugniasienės registravimo veiklos variantas yra paketo naudojimas ulogd, kurį „netfilter“ projekto žmonės daro norėdami palengvinti šio tipo pėdsakų atskyrimą (leidžia juos išsaugoti įvairiais būdais). Tai yra požiūris, kurį paprastai naudoju. Tai lengva naudoti, pavyzdžiui:
iptables -A INPUT -p udp -m multiport ! --ports 53,67:68 -m state --state NEW -j ULOG --ulog-prefix "Solicitud UDP dudosa"Turėsiu duoti įrašui F5, man tinka „Ulogd“ darbo būdas, net „MySQL“ registruoja tipą: D
Geras pranešimas, tęsk.
Sveiki, viršininke, kaip sekasi?
Ar galėtumėte man padėti?
Kadangi negaunu pamokos ir ji yra aiškesnė už vandenį, nežinau, kur klystu