Прикажување на дневници за iptables во посебна датотека со ulogd

Не е првпат да зборуваме iptables, веќе споменавме како да правиме правила за iptables автоматски се имплементираат кога ќе го стартувате компјутерот, ние исто така објаснуваме што основно / средно над iptables, и уште неколку работи 🙂

Проблемот или вознемиреноста што секогаш ги наоѓаме оние што сакаат iptables е тоа што, дневниците на iptables (т.е. информациите за одбиените пакети) се прикажани во датотеки dmesg, kern.log или syslog на / var / log /, или Со други зборови, овие датотеки не само што ги прикажуваат информациите за iptables, туку и многу други информации, што го прави малку досадно да се гледаат само информациите поврзани со iptables.

Пред некое време ви покажавме како добијте ги дневниците од iptables во друга датотека, сепак ... морам да признаам дека лично сметам дека овој процес е малку сложен ^ - ^

Потоа, Како да ги добиете дневниците на iptables во посебна датотека и да ги одржувате што е можно поедноставно?

Решението е: улог

улог тоа е пакет што го инсталиравме (en Debian или деривати - »sudo apt-get install ulogd) и ќе ни служи токму за ова што ти го реков само.

За да го инсталирате, знаете, побарајте го пакетот улог во нивните репорти и инсталирајте го, тогаш ќе им се додаде демон (/тнк/init.d/ulogd) при стартување на системот, доколку користите дистрибуција на KISS како ArchLinux треба да додаде улог до делот на демони кои започнуваат со системот во /итн/rc.conf

Откако ќе ја инсталираат, тие мора да ја додадат следната линија во скриптата за правила за iptables:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Потоа, повторно извршете ја скриптата за правила за iptables и voila, сè ќе работи 😉

Побарајте дневници во датотеката: /var/log/ulog/syslogemu.log

Во оваа датотека што ја споменав е местото каде што стандардно ulogd ги лоцира отфрлените дневници на пакети, сепак, ако сакате да биде во друга датотека, а не во оваа, можете да ја измените линијата # 53 во /тнк/ulogd.conf, тие само ја менуваат патеката на датотеката што ја покажува таа линија и потоа го рестартираат демонот:

sudo /etc/init.d/ulogd restart

Ако внимателно ја разгледате таа датотека, ќе видите дека има опции дури и да ги зачувате логовите во базата на податоци MySQL, SQLite или Postgre, всушност, датотеките за конфигурација се во / usr / share / doc / ulogd /

Добро, веќе имаме логови на iptables во друга датотека, сега како да ги покажеме?

За ова е едноставна мачка би било доволно:

cat /var/log/ulog/syslogemu.log

Запомнете, само одбиените пакети ќе се најават, ако имате веб-сервер (порта 80) и имате конфигурирано iptables, така што секој може да пристапува до оваа веб-услуга, дневниците поврзани со ова нема да бидат зачувани во дневниците, без Меѓутоа, ако тие имаат услуга SSH и преку iptables тие го конфигурираат пристапот до портата 22 така што таа дозволува само одредена IP, во случај која било друга IP освен избраната да се обиде да пристапи до 22, тогаш тоа ќе биде зачувано во дневникот.

Јас ви прикажувам овде пример за пример од мојот дневник:

4 март 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 60 ЛЕН = 00 ТОС = 0 ПРЕЦ = 00х64 ТТЛ = 12881 ИД = 37844 DF ПРОТО = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 ПРОЗОР = 0 Син URGP = XNUMX

Како што можете да видите, датумот и времето на обидот за пристап, интерфејсот (wifi во мојот случај), MAC адресата, изворната IP на пристапот, како и дестинацијата IP (мојата) и неколку други податоци меѓу кои протоколот (TCP) и пристаништето за дестинација (22) се наоѓаат. Сумирајќи, во 10:29 на 4 март, IP 10.10.0.1 се обиде да пристапи до портата 22 (SSH) на мојот лаптоп кога тој (т.е. мојот лаптоп) имаше IP 10.10.0.51, сето тоа преку Wifi (wlan0)

Како што можете да видите ... навистина корисни информации

Како и да е, мислам дека нема многу повеќе да се каже. Јас не сум далеку експерт за iptables или ulogd, сепак ако некој има проблем со ова нека ме извести и ќе се обидам да им помогнам

Поздрав