Rāda iptables žurnālus atsevišķā failā ar ulogd

Mēs runājam ne pirmo reizi iptables, mēs jau iepriekš minējām, kā izstrādāt noteikumus iptables tiek automātiski ieviesti, startējot datoru, mēs arī izskaidrojam, kas pamata / vidēja pār iptables, un vairākas citas lietas 🙂

Problēma vai nepatīkama sajūta, kas mums, vienmēr, patīk iptables, ir tā, ka iptables žurnāli (tas ir, noraidīto pakešu informācija) tiek parādīti dmesg, kern.log vai syslog failos / var / log /, vai Citiem vārdiem sakot, šajos failos tiek parādīta ne tikai informācija par iptables, bet arī daudz citas informācijas, tāpēc ir mazliet garlaicīgi redzēt tikai informāciju, kas saistīta ar iptables.

Pirms kāda laika mēs parādījām, kā iegūt žurnālus no iptables uz citu failuTomēr ... Man jāatzīst, ka man personīgi šis process šķiet mazliet sarežģīts ^ - ^

Tad, Kā iegūt iptables žurnālus atsevišķā failā un saglabāt to pēc iespējas vienkāršāk?

Risinājums ir: ulogd

ulogd tā ir pakete, kuru mēs instalējām (en Debian vai atvasinājumi - »sudo apt-get install ulogd), un tas mums kalpos tieši tam, ko es jums tikko teicu.

Lai to instalētu, jūs zināt, meklējiet pakotni ulogd viņu repos un instalējiet to, tad viņiem tiks pievienots dēmons (/etc/init.d/ulogd) sistēmas startēšanas laikā, ja izmantojat kādu no KISS distro ArchLinux vajadzētu pievienot ulogd uz dēmonu sadaļu, kas sākas ar sistēmu /etc/rc.conf

Kad tas ir instalēts, viņiem iptables kārtulu skriptā jāpievieno šāda rinda:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Pēc tam vēlreiz palaidiet iptables noteikumu skriptu un voila, viss darbosies 😉

Meklējiet žurnālus failā: /var/log/ulog/syslogemu.log

Šajā manis pieminētajā failā pēc noklusējuma ulogd atrod noraidītos pakešu žurnālus, tomēr, ja vēlaties, lai tas būtu citā failā, nevis šajā, jūs varat modificēt 53. rindiņu /etc/ulogd.conf, viņi vienkārši maina faila ceļu, kas parāda šo rindu, un pēc tam restartējiet dēmonu:

sudo /etc/init.d/ulogd restart

Rūpīgi apskatot šo failu, redzēsit, ka ir iespējas pat saglabāt žurnālus MySQL, SQLite vai Postgre datu bāzē, faktiski konfigurācijas failu piemēri ir / usr / share / doc / ulogd /

Labi, mums jau ir iptables žurnāli citā failā, tagad kā tos parādīt?

Šim vienkāršs kaķis pietiktu:

cat /var/log/ulog/syslogemu.log

Atcerieties, ka tikai noraidītās paketes tiks reģistrētas, ja jums ir tīmekļa serveris (80. ports) un iptables ir konfigurēts tā, lai ikviens varētu piekļūt šim tīmekļa pakalpojumam, ar to saistītie žurnāli netiks saglabāti žurnālos, bez Jums ir SSH pakalpojums, un caur iptables viņi konfigurēja piekļuvi 22. portam tā, lai tas atļautu tikai noteiktu IP, ja kāds cits IP, nevis izvēlētais, mēģina piekļūt 22, tas tiks saglabāts žurnālā.

Es šeit parādīšu sava žurnāla rindas piemēru:

4. marts 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 LOGS = 0 SYN URGP = XNUMX

Kā redzat, piekļuves mēģinājuma datums un laiks, interfeiss (manā gadījumā wifi), MAC adrese, piekļuves avota IP, kā arī galamērķa IP (mans) un vairāki citi dati, starp kuriem protokols (TCP ) un galamērķa osta (22). Apkopojot, 10. marta plkst. 29:4 IP 10.10.0.1 mēģināja piekļūt sava klēpjdatora 22. portam (SSH), kad tam (tas ir, manam klēpjdatoram) bija IP 10.10.0.51, tas viss, izmantojot Wifi (wlan0)

Kā redzat ... tiešām noderīga informācija 😉

Jebkurā gadījumā es nedomāju, ka ir daudz vairāk ko teikt. Es vēl neesmu iptables vai ulogd eksperts, tomēr, ja kādam ir problēmas ar to, dariet man zināmu un es centīšos viņiem palīdzēt

Sveiciens 😀