Ulogd सह स्वतंत्र फाइलमध्ये iptables लॉग दर्शवित आहे

आम्ही याबद्दल बोलण्याची ही पहिली वेळ नाही iptablesनियम कसे बनवायचे यापूर्वी आम्ही आधीच नमूद केले आहे आपण संगणक प्रारंभ करता तेव्हा iptables स्वयंचलितपणे लागू केले जातात, आम्ही काय स्पष्ट करतो मूलभूत / मध्यम ओपटेबल्स, आणि इतर बर्‍याच गोष्टी 🙂

आपल्यापैकी ज्यांना iptables बद्दल नेहमीच आवडत असलेली समस्या किंवा त्रास आहे ते म्हणजे, iptables लॉग (म्हणजे नकार दिलेल्या पॅकेट्सची माहिती) dmesg, kern.log किंवा / var / log / च्या syslog फायलींमध्ये दर्शविली आहेत, किंवा दुसर्‍या शब्दांत सांगायचे तर, या फाईल्समध्ये फक्त iptables माहितीच दर्शविली जात नाही, तर इतर माहिती देखील बरीच त्रासदायक बनविते ज्यामुळे फक्त iptables शी संबंधित माहिती पाहणे थकले आहे.

काही काळापूर्वी आम्ही कसे ते दर्शविले iptables वरून दुसर्‍या फाईलवर लॉग मिळवातथापि, मला हे मान्य करावेच लागेल की मला ही प्रक्रिया जरा जटिल वाटली ^ - ^

तर, वेगळ्या फाईलमध्ये इप्टेबल्स लॉग कसे मिळवावेत आणि ते शक्य तितके सोपे कसे करावे?

उपाय आहेः ulogd

ulogd हे आम्ही स्थापित केलेले पॅकेज आहे (en डेबियन किंवा डेरिव्हेटिव्ह्ज - do sudo ptप्ट-गेट स्थापित स्थापित करा) आणि मी नुकतीच तुला सांगितलेल्या गोष्टींसाठी ती आमची सेवा करेल.

आपल्याला माहित असलेले हे स्थापित करण्यासाठी, पॅकेज पहा ulogd त्यांच्या रेपोमध्ये आणि स्थापित करा, त्यानंतर त्यांच्यात एक डिमन जोडले जाईल (/etc/init.d/ulogd) सिस्टम स्टार्टअपवेळी, आपण कोणत्याही KISS डिस्ट्रॉ वापरल्यास आर्चलिनक्स जोडणे आवश्यक आहे ulogd सिस्टममध्ये प्रारंभ होणार्‍या डिमनच्या विभागात /etc/rc.conf

एकदा ते स्थापित झाल्यानंतर त्यांनी त्यांच्या iptables नियम स्क्रिप्टमध्ये खालील ओळ जोडा:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

नंतर आपले iptables नियम स्क्रिप्ट पुन्हा चालवा आणि व्होइला, सर्व काही कार्यरत असेल 😉

फाईलमधील नोंदी पहा: /var/log/ulog/syslogemu.log

या फाईलमधे मी उल्लेख करतो की डीफॉल्टनुसार अलोग्ड नाकारलेले पॅकेट लॉग शोधून काढतो, तथापि आपणास ती दुसर्‍या फाईलमध्ये असावी असे वाटत असेल आणि त्यामध्ये आपण लाइन # 53 मध्ये बदल करू शकत नाही. /etc/ulogd.conf, ते फक्त त्या फाईलचा मार्ग बदलतात जी ती रेखा दर्शविते आणि नंतर डीमन पुन्हा सुरू करतात:

sudo /etc/init.d/ulogd restart

आपण त्या फाईलकडे बारकाईने पाहिले तर आपणास दिसेल की मायएसक्यूएल, एसक्यूलाईट किंवा पोस्टग्री डेटाबेसमध्ये लॉग सेव्ह करण्याचेही पर्याय आहेत, खरं तर कॉन्फिगरेशन फाइल्स / यूएसआर / शेअर / डॉक / यूलॉग्ड / मधील आहेत

ठीक आहे, आमच्याकडे आधीपासूनच दुसर्‍या फाईलमध्ये इप्टेबल्स लॉग आहेत, ते कसे दर्शवायचे?

या साठी एक सोपा मांजर पुरे होईल:

cat /var/log/ulog/syslogemu.log

लक्षात ठेवा, केवळ नाकारलेले पॅकेट लॉग केले जातील, जर आपल्याकडे वेब सर्व्हर असेल तर (पोर्ट everyone०) आणि iptables कॉन्फिगर केले आहेत जेणेकरून प्रत्येकजण या वेब सेवेमध्ये प्रवेश करू शकेल, तथापि, संबंधित नोंदी लॉगमध्ये जतन होणार नाहीत तथापि, जर ते असतील तर एसएसएच सेवा आहे आणि आयपॅटेबल्सच्या माध्यमातून त्यांनी पोर्ट २२ वर प्रवेश कॉन्फिगर केले आहे जेणेकरून ते केवळ विशिष्ट आयपीला अनुमती देईल, जर निवडलेल्या व्यतिरिक्त इतर कोणत्याही आयपीने २२ प्रवेश करण्याचा प्रयत्न केला तर ही लॉगमध्ये जतन केली जाईल.

मी तुम्हाला माझ्या लॉग मधील एक उदाहरण ओळ दर्शवितो:

मार्च 4 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 एसआरसी = 10.10.0.1 डीएसटी = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 WINDOW = 0 SYN URGP = XNUMX

जसे आपण पाहू शकता, प्रवेश प्रयत्नाची तारीख आणि वेळ, इंटरफेस (माझ्या बाबतीत वायफाय), मॅक पत्ता, प्रवेशाचा स्त्रोत आयपी तसेच गंतव्य आयपी (माझे) आणि इतर अनेक डेटा ज्यात प्रोटोकॉल (टीसीपी) आहेत ) आणि गंतव्य पोर्ट (22) आढळले आहेत. सारांश, 10 मार्च रोजी 29: 4 वाजता, आयपी 10.10.0.1 ने माझ्या लॅपटॉपवर (म्हणजेच माझा लॅपटॉप) आयपी 22 आयपी घेतला तेव्हा माझ्या लॅपटॉपच्या 10.10.0.51 (एसएसएच) वर प्रवेश करण्याचा प्रयत्न केला, हे सर्व वायफाय (wlan0) द्वारे

जसे आपण पाहू शकता ... खरोखर उपयुक्त माहिती 😉

असं असलं तरी असं म्हणायला आणखी बरेच काही आहे असे मला वाटत नाही. मी आतापर्यंत iptables किंवा ulogd चा तज्ञ नाही, तथापि जर कोणाला ही समस्या असेल तर मला कळवा आणि मी त्यांना मदत करण्याचा प्रयत्न करू

शुभेच्छा 😀