Бүх үйл ажиллагааг iptables ашиглан бүртгэх

iptablesАнхдагч байдлаар энэ нь "Бүгдийг хүлээн зөвшөөрөх" горимд шүүлтүүрийн дүрмийг агуулдаг бөгөөд өөрөөр хэлбэл манай компьютерээс эсвэл түүнтэй холбогдсон бүх холболтуудыг оруулах, гарах боломжийг олгодог. Гэхдээ хэрэв бид өөрсдийн сервер эсвэл компьютерт холбогдсон бүх мэдээллийг бүртгэхийг хүсвэл яах вэ?

 

 

Тэмдэглэл: Миний гүйцэтгэх процедур нь тараахад 100% хүчинтэй байна Debian/Дебиан дээр суурилсан, тиймээс та ашиглаж байгаа бол Slackware, Федора, CentOS, OpenSuSe, процедур нь ижил биш байж магадгүй тул доор тайлбарласан зүйлийг хэрэгжүүлэхээс өмнө таны түгээлтийн нэвтрэх системийг уншиж, ойлгохыг зөвлөж байна. Rsyslog-ийг хадгалах санд байршуулах боломжтой бол rsyslog-ийг суулгах боломжтой. Гэхдээ энэ гарын авлагад syslog-ийг эцэст нь тайлбарласан болно.

Одоогийн байдлаар бүгд сайн, гэхдээ юу вэБид хаана нэвтрэх гэж байна? Хялбар, файл дотор «/var/log/firewall/iptables.log", юу байдаггүй, бид өөрсдөө итгэх хүртлээ ...

1- Бид файлыг үүсгэх ёстой «iptables.log»Фолдер дотор/ var / log / firewall»Үүнийг бий болгох ёстой, учир нь энэ нь бас байдаггүй.

mkdir -p / var / log / firewall /
/var/log/firewall/iptables.log дээр хүрнэ үү

2- Зөвшөөрөл, маш чухал ...

chmod 600 /var/log/firewall/iptables.log
chown root: adm /var/log/firewall/iptables.log

3- rsyslog, Debian нэвтрэх демон, тохиргоог «/etc/rsyslog.d«, Тиймээс бид« Би дуудах файлыг үүсгэх ёстой »галт хана»Бидний хийхийг хүссэн зүйлийг rsyslog-оос тайлбарлаж болно.

/etc/rsyslog.d/firewall.conf дээр хүрнэ үү

Дотор нь бид түүнийг орхино caer дараах агуулгыг зөөлөн:

: msg, contains, "iptables:" - / var / log / firewall / iptables.log
& ~

Надад өчүүхэн ч санаа алга,энэ хоёр мөр юу хийж байгаа юм?

Эхний мөр нь «тэмдэгт мөрийг тэмдэглэсэн өгөгдлийг шалганаiptables: »Үүнийг« файлд нэмнэ/var/log/firewall/iptables.log«

Хоёрдугаарт, өмнөх хэв загвараар нэвтэрсэн мэдээллийн боловсруулалтыг зогсоох бөгөөд ингэснээр үргэлжлүүлэн илгээгдэхгүй./ var / log / messages".

4- Бүртгэлийн файлыг эргүүлэх хүрсэн.

Бид «дотор бий болгох ёстой/etc/logrotate.d/" Файл "галт хана нь»Үүнд дараахь агуулга орно:

/var/log/firewall/iptables.log
{
7 эргүүлэх
өдөр тутмын
хэмжээ 10М
огноо
алга болсон
600 root adm үүсгэх
мэдэгдэлгүй
шахах
хойшлуулах шахах
дараа нь эргүүлэх
invoke-rc.d rsyslog дахин ачаалах> / dev / null
төгсгөлийн үсэг
}

Бүртгэлийг устгахаас өмнө 7 удаа эргүүлэхийн тулд өдөрт 1 удаа, хамгийн дээд хэмжээтэй 10МБ хэмжээтэй, шахсан, огноотой, хэрэв бүртгэл байхгүй бол root хэлбэрээр үүсгэсэн бол алдаа өгөхгүй.

5- Бүх аз жаргалтай төгсгөл болсон xD шиг дахин эхлүүлээрэй, rsyslog демон:

/etc/init.d/rsyslog дахин эхлүүлэх

Энэ бүхэн ажиллаж байгааг хэрхэн нотлох вэ?

SSH-ийг туршиж үзье.

Суулгах OpenSSH (Хэрэв тэд үүнийг суулгаагүй бол ...):

apt-get openssh-server суулгах

Үргэлжлүүлэхээсээ өмнө бид консол дээр root байдлаар ажиллуулах ёстой.

iptables -A INPUT -p tcp --dport 22 --syn -j LOG --log-prefix "iptables: " --log-level 4

Энэхүү iptables-ийн мэдэгдлийг ажиллуулснаар бидний хийсэн зүйл хоосон биш гэдгийг харуулах хангалттай мэдээллийг бүртгэх болно. Энэ өгүүлбэрт бид iptables-д 22-р портоор дамжин орж буй бүх мэдээллийг бүртгэхийг зөвлөж байна. Бусад үйлчилгээнүүдтэй тест хийхийн тулд MySQL-ийн 3306 гэх мэт портын дугаарыг сольж, жишээ авахад л хангалттай. энэ маш сайн баримтжуулсан хичээлийг уншина уу мөн хамгийн их ашиглагддаг тохиргооны ердийн жишээн дээр үндэслэсэн болно.

SSH порт нь анхдагчаар 22-ийг ашигладаг тул бид түүнтэй хамт тест хийх болно. Суурилуулсаны дараа бид түүнтэй холбогддог.

ssh pepe @ тест-сервер

Бүртгэлийг харахын тулд сүүлний тусламжтайгаар та энэ асуудлыг шийднэ үү.

сүүл -f /var/log/firewall/iptables.log

Iptables, энэ жишээнд бүх зүйлийг, өдөр, цаг, ip, mac гэх мэтийг бүртгэдэг бөгөөд энэ нь манай серверүүдийг хянахад маш сайн болгодог. Хэзээ ч өвддөггүй бяцхан тусламж.

Одоо бид өөр дистро ашигладаг болохыг анхаарч үзвэл эхэнд хэлсэнчлэн ерөнхийдөө ашигладаг rsyslog, эсвэл үүнтэй төстэй зүйл. Хэрэв таны хуваарилалт ашиглавал syslog, ижил дасгал хийхийн тулд бид бага зэрэг засах / өөрчлөх ёстой syslog.conf

нано /etc/syslog.conf

Дараах мөрийг нэмж хадгална уу.

kern.warning /var/log/firewall/iptables.log

Дараа нь та аз жаргалтай төгсгөлийг мэднэ үү:

/etc/init.d/sysklogd дахин эхлүүлэх

Үр дүн: ижил.

Одоохондоо энэ бүхэн, дараагийн бичлэгүүд дээр бид iptables-тай үргэлжлүүлэн тоглох болно.

Ашигласан материал:

Iptables-ийг өөр файл руу нэвтрэхийг албада

Iptables-ийг rsyslog програмаар тусад нь файлд оруулна уу

Fedora / RHEL систем дээрх Iptables тохиргооны заавар


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

8 сэтгэгдэл, үлдээгээрэй

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно.

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.

  1.   FerreryGuardia гэж хэлэв

    BOFH-д зориулсан энэхүү "мини гарын авлага" -ыг маш сайн ашиглах болно

  2.   Корацуки гэж хэлэв

    Баярлалаа, би ажилаасаа мэдэж байх ёстой, заримдаа бидэнд хэрэгтэй байдаг, интернетэд маш муу тайлбарладаг iptables-ийн дэлгэрэнгүй мэдээлэл, өгөгдлийг бүгдийг нь хэрэглэгчид өгөх болно ... xD

    1.    KZKG ^ Гаара гэж хэлэв

      Энэ завшааныг ашиглан та бүхнийг урьж байна
      Танд үнэхээр хувь нэмэр оруулах маш их зүйл байгаа, та сүлжээ, систем, галт хана гэх мэт өндөр түвшний мэдлэгтэй тул би чиний унших олон уншигчдын нэг нь байх болно (хэхэ).

      Сайн байцгаана уу ... юу ч болсон хамаагүй мэдэж байгаа шүү дээ

    2.    исар гэж хэлэв

      Би эдгээр зүйлийг тэсэн ядан хүлээж байна ^^

  3.   Хюго гэж хэлэв

    Корацуки дээр ирээрэй, би таныг энэ блогоор байнга зочилдог гэдгийг мэдээгүй.

    Дашрамд хэлэхэд, галт ханын үйл ажиллагааг бүртгэх өөр нэг хувилбар бол багцыг ашиглах явдал юм улогд, энэ төрлийн ул мөрийг салгах ажлыг хөнгөвчлөх зорилгоор нэтфильтр төслийн хүмүүс хийдэг (тэдгээрийг янз бүрийн аргаар хадгалах боломжийг олгодог). Энэ бол миний ихэвчлэн ашигладаг арга барил юм. Үүнийг ашиглах нь хялбар байдаг, жишээлбэл:

    iptables -A INPUT -p udp -m multiport ! --ports 53,67:68 -m state --state NEW -j ULOG --ulog-prefix "Solicitud UDP dudosa"

  4.   Корацуки гэж хэлэв

    Би нийтлэлд F5 өгөх хэрэгтэй болно, Ulogd ажлын арга барил надад тохирсон, MySQL хүртэл дараахь төрлийн бүртгэлийг хийдэг.

  5.   msx гэж хэлэв

    Сайн бичлэг байна, үргэлжлүүлээрэй.

  6.   чинолоко гэж хэлэв

    Сайн уу дарга аа, яаж байна даа?
    Надад гараа өгч чадах уу?
    Нэгэнт би хичээлээ авдаггүй бөгөөд уснаас илүү ойлгомжтой тул хаана буруугаа хэлж байгаагаа мэдэхгүй байна