iptablesPēc noklusējuma tam ir filtrēšanas kārtula režīmā "Pieņemt visu", tas ir, tas ļauj ievadīt un izslēgt visus savienojumus no vai uz mūsu datoru, bet ko darīt, ja mēs vēlamies reģistrēt visu informāciju par savienojumiem, kas veikti ar mūsu serveriem vai personālajiem datoriem?
Piezīme: Procedūra, kuru es tagad izpildīšu, saderībās ir derīga 100% Debian/Debian bāzes, tāpēc, ja izmantojat Slackware, Fedora, CentOS, OpenSuSe, procedūra var nebūt vienāda. Mēs iesakām izlasīt un izprast izplatīšanas pieteikšanās sistēmu, pirms lietojat tālāk paskaidroto. Ir arī iespēja instalēt rsyslog savā izplatīšanā, ja tas ir pieejams krātuvēs, lai gan šajā apmācībā syslog ir izskaidrots arī beigās.
Pagaidām viss labs, bet koKur mēs pierakstīsimies? Viegli, failā «/var/log/firewall/iptables.log", kas nepastāv, kamēr paši tam neticam ...
1- Mums jāizveido fails «iptables.log»Mapes iekšpusē«/ var / log / ugunsmūris»Tas mums ir jāizveido, jo arī tā nepastāv.
mkdir -p / var / log / ugunsmūris /
pieskarieties /var/log/firewall/iptables.log
2- Atļaujas, ļoti svarīgas ...
chmod 600 /var/log/firewall/iptables.log
chown sakne: adm /var/log/firewall/iptables.log
3- rsyslog, Debian pieteikšanās dēmons, nolasa konfigurāciju no «/etc/rsyslog.d«, Tāpēc mums jāizveido fails, kuru es saukšu«firewall.conf»No kura rsyslog var interpretēt to, ko mēs vēlamies darīt.
pieskarieties /etc/rsyslog.d/firewall.conf
Un iekšā mēs viņu atstājam kritums maigi šādu saturu:
: msg, satur, "iptables:" - / var / log / ugunsmūris / iptables.log
& ~
Man nav ne mazākās nojausmas,ko dara šīs pāris rindas?
Pirmajā rindā tiek pārbaudīti reģistrētie dati virknei «iptables: »Un pievieno to failam«/var/log/firewall/iptables.log«
Otrkārt, tiek apturēta ar iepriekšējo modeli pieteikušās informācijas apstrāde, lai to turpinātu sūtīt uz «/ var / log / messages".
4- Pagriežot žurnāla failu ar logrotate.
Mums ir jārada «/etc/logrotate.d/" fails "ugunsmūris»Kurā būs šāds saturs:
/var/log/firewall/iptables.log
{
pagriezt 7
ik dienas
izmērs 10M
datuma teksts
missingok
izveidot 600 saknes adm
Paziņojums par pazušanu
saspiest
delaycompress
postrotēt
invoke-rc.d rsyslog pārlādēt> / dev / null
gala indekss
}
Lai žurnālus pirms to dzēšanas pagrieztu 7 reizes, 1 reizi dienā, maksimālais žurnāla lielums 10 MB, saspiests, datēts, nedodot kļūdu, ja žurnāla nav, izveidots kā root.
5- Restartējiet, tāpat kā visas laimīgās beigas xD, arī rsyslog dēmonu:
/etc/init.d/rsyslog restartējiet
Kā pierādīt, ka viss, kas darbojas?
Izmēģināsim SSH.
instalēt OpenSSH (ja viņiem tā nav instalēta ...):
apt-get install openssh-serveris
Pirms turpināt, konsolē ir jāpalaiž kā root:
iptables -A INPUT -p tcp --dport 22 --syn -j LOG --log-prefix "iptables: " --log-level 4
Izpildot šo iptables paziņojumu, tiks reģistrēta pietiekami daudz informācijas, lai parādītu, ka tas, ko mēs esam izdarījuši, nav veltīgi. Šajā teikumā mēs sakām iptables reģistrēt visu informāciju, kas to sasniedz, izmantojot 22. portu. Lai pārbaudītu ar citiem pakalpojumiem, vienkārši mainiet porta numuru, piemēram, MySQL, piemēram, 3306, lai tikai minētu piemēru, ja vēlaties vairāk informācijas, izlasiet šo ļoti labi dokumentēto apmācību un, pamatojoties uz tipiskākajiem visbiežāk izmantoto konfigurāciju piemēriem.
SSH pēc noklusējuma izmanto 22. portu, tāpēc mēs to pārbaudīsim. Uzstādījuši openssh, mēs izveidojam savienojumu ar to.
ssh pepe @ test-serveris
Lai skatītu žurnālus, ar asti jūs atrisināt šo problēmu:
tail -f /var/log/firewall/iptables.log
Šajā piemērā Iptables reģistrē visu, dienu, laiku, ip, mac utt., Kas padara to lieliski piemērotu mūsu serveru uzraudzībai. Neliela palīdzība, kas nekad nesāp.
Tagad, ņemot vērā, ka mēs izmantojam citu distro, kā jau teicu sākumā, tas parasti tiek izmantots rsyslog, vai kaut kas līdzīgs. Ja jūsu izplatītājs izmanto syslog, lai veiktu to pašu vingrinājumu, mums tas ir nedaudz jārediģē / jāpārveido syslog.conf
nano /etc/syslog.conf
Pievienojiet un saglabājiet šādu rindu:
kern.warning /var/log/firewall/iptables.log
Un tad, jūs zināt, laimīgās beigas:
/etc/init.d/sysklogd restartējiet
Rezultāts: tas pats.
Tas pagaidām ir tas, nākamajos ierakstos mēs turpināsim spēlēt ar iptables.
Norādes:
Piespiest iptables pieteikties citā failā
Reģistrējiet iptables atsevišķā failā ar rsyslog
Iptables konfigurācijas apmācība par Fedora / RHEL sistēmām
Lieliski šo «mini-rokasgrāmatu» BOFH, ko jūs darāt pamazām
Paldies, pamazām es sniegšu sīkāku informāciju un datus par iptables, kas man bija jāzina no sava darba, kas dažreiz mums ir vajadzīgs un ko ļoti slikti internetā izskaidro pats lietotājs ... xD
Es izmantoju šo iespēju, lai sveicinātu jūs biedru 😀
Jums patiešām ir DAUDZ ko dot, jums ir patiešām uzlabotas zināšanas par tīkliem, sistēmām, ugunsmūri utt., Tāpēc es būšu (es jau esmu) viens no daudzajiem lasītājiem, kas jums būs hahaha.
Sveiciens un labi ... ziniet, lai kas tam būtu vajadzīgs 😀
Es ar nepacietību gaidu tos priekšmetus ^^
Nāc uz Koratsuki, es nezināju, ka tu apmeklēji šo emuāru.
Starp citu, cits ugunsmūra reģistrēšanas variants ir pakotnes izmantošana ulogd, kuru netfilter projekta cilvēki veic, lai atvieglotu šāda veida pēdu atdalīšanu (ļauj tos saglabāt dažādos veidos). Tā ir pieeja, kuru parasti izmantoju. Tā lietošana ir vienkārša, piemēram:
iptables -A INPUT -p udp -m multiport ! --ports 53,67:68 -m state --state NEW -j ULOG --ulog-prefix "Solicitud UDP dudosa"
Man būs jāpiešķir ziņai F5, man der Ulogd darbības veids, pat MySQL reģistrē veidu: D.
Labs ieraksts, turpini tā.
Sveiks, priekšniek, kā iet?
Vai jūs varētu man dot roku?
Tā kā es nesaņemu apmācību un tā ir skaidrāka par ūdeni, es nezinu, kur es kļūdos