Ini bukan kali pertama kita membincangkannya iptables, kami telah menyebut sebelumnya bagaimana membuat peraturan iptables dilaksanakan secara automatik semasa anda memulakan komputer, kami juga menerangkan apa asas / sederhana berbanding iptables, dan beberapa perkara lain 🙂
Masalah atau kegusaran yang selalu ditemui oleh kita yang suka tentang iptables adalah, log iptables (iaitu maklumat paket yang ditolak) ditunjukkan dalam fail dmesg, kern.log atau syslog dari / var / log /, atau Dengan kata lain, bukan hanya maklumat iptables yang ditunjukkan dalam fail ini, tetapi juga banyak maklumat lain, menjadikannya agak membosankan untuk melihat hanya maklumat yang berkaitan dengan iptables.
Beberapa ketika yang lalu kami menunjukkan caranya dapatkan log dari iptables ke fail lain, bagaimanapun ... saya harus mengakui bahawa secara peribadi saya menganggap proses ini agak rumit ^ - ^
Kemudian, Bagaimana cara mendapatkan log iptables ke fail yang terpisah dan membuatnya semudah mungkin?
Penyelesaiannya ialah: ulogd
ulogd ia adalah pakej yang kami pasang (en Debian atau derivatif - »sudo apt-get install ulogd) dan ini akan memberi kami perkhidmatan yang tepat untuk apa yang baru saya katakan.
Untuk memasangnya anda tahu, cari pakejnya ulogd di repos mereka dan memasangnya, maka daemon akan ditambahkan kepada mereka (/etc/init.d/ulogg) pada permulaan sistem, jika anda menggunakan distro KISS seperti ArchLinux mesti menambah ulogd ke bahagian daemon yang bermula dengan sistem di /etc/rc.conf
Setelah memasangnya, mereka mesti menambahkan baris berikut dalam skrip peraturan iptables mereka:
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
Kemudian jalankan skrip peraturan iptables anda lagi dan voila, semuanya akan berfungsi 😉
Cari log dalam fail: /var/log/ulog/syslogemu.log
Dalam fail ini yang saya sebutkan adalah di mana secara default ulogd mencari log paket yang ditolak, namun jika anda mahu ia berada di dalam fail lain dan bukan di dalamnya, anda boleh mengubah baris # 53 di /etc/ulogd.conf, mereka hanya menukar jalan fail yang menunjukkan baris itu dan kemudian mulakan semula daemon:
sudo /etc/init.d/ulogd restart
Sekiranya anda melihat fail tersebut dengan teliti, anda akan melihat bahawa ada pilihan untuk menyimpan log dalam pangkalan data MySQL, SQLite atau Postgre, sebenarnya fail konfigurasi contoh ada di / usr / share / doc / ulogd /
Ok, kita sudah mempunyai log iptables dalam fail lain, sekarang bagaimana untuk menunjukkannya?
Untuk ini mudah kucing cukup:
cat /var/log/ulog/syslogemu.log
Ingat, hanya paket yang ditolak akan dicatat, jika anda mempunyai pelayan web (port 80) dan mempunyai iptables yang dikonfigurasi sehingga semua orang dapat mengakses perkhidmatan web ini, log yang berkaitan dengan ini tidak akan disimpan dalam log, tanpa Namun, jika mereka mempunyai perkhidmatan SSH dan melalui iptables mereka mengkonfigurasi akses ke port 22 sehingga hanya membenarkan IP tertentu, sekiranya ada IP selain yang dipilih cuba mengakses 22 maka ini akan disimpan dalam log.
Saya tunjukkan di sini garis contoh dari log saya:
4 Mac 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 WINDOW = 0 SYN URGP = XNUMX
Seperti yang anda lihat, tarikh dan waktu percubaan akses, antara muka (Wi-Fi dalam kes saya), alamat MAC, sumber sumber akses serta IP tujuan (lombong), dan pelbagai data lain di antaranya terdapat protokol (TCP) dan port tujuan (22). Sebagai kesimpulan, pada 10:29 pada 4 Mac, IP 10.10.0.1 cuba mengakses port 22 (SSH) komputer riba saya ketika (iaitu komputer riba saya) mempunyai IP 10.10.0.51, semua ini melalui Wifi (wlan0)
Seperti yang anda lihat ... maklumat yang sangat berguna 😉
Bagaimanapun, saya rasa tidak ada banyak lagi yang boleh diperkatakan. Sejauh ini saya bukan pakar iptables atau ulogd, namun jika ada yang mempunyai masalah dengan ini, beritahu saya dan saya akan berusaha menolong mereka
Salam 😀
https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
Saya ingat dengan artikel itu saya mula mengikuti mereka .. hehe ..
Terima kasih, menghormati yang anda lakukan kepada saya 😀
adakah ulogd hanya untuk iptables atau umum? membenarkan untuk menetapkan saluran? log masuk melalui rangkaian?
Percayalah bahawa itu hanya untuk iptables, namun memberikannya 'man ulogd' untuk menghilangkan keraguan.
Anda betul: "ulogd - The Netfilter Userspace Logging Daemon"
+1, artikulasi hebat!
Terima kasih, datang dari anda yang bukan salah seorang yang melakukan sanjungan paling bermakna means
Itu tidak bermaksud bahawa saya tahu lebih banyak daripada orang lain tetapi saya xd pemarah
Terima kasih sekali lagi untuk catatan tersebut, merujuk kepada artikel lain mengenai krisis blogosfera linux Hispanik, catatan anda ini - yang bercakap mengenai jawatan teknikal - hanyalah jenis catatan yang diperlukan dalam bahasa Sepanyol / Kastilia.
Kiriman teknikal berkualiti seperti ini, dari sysadmins, sentiasa dialu-alukan dan terus ke kegemaran 8)
Ya, sebenarnya artikel teknikal adalah perkara yang diperlukan ... Saya tidak pernah jemu mengatakannya, sebenarnya saya sudah membincangkannya di sini - » https://blog.desdelinux.net/que-aporta-realmente-desdelinux-a-la-comunidad-global/
Bagaimanapun, terima kasih sekali lagi ... Saya akan terus kekal dengan jawatan teknikal 😀
salam