Viser iptables-logger i egen fil med ulogd

Det er ikke første gang vi snakker om iptables, vi har allerede nevnt tidligere hvordan man lager regler for iptables implementeres automatisk når du starter datamaskinen, forklarer vi også hva basic / medium over iptables, og flere andre ting 🙂

Problemet eller irritasjonen som de av oss som liker iptables alltid finner er at iptables-loggene (det vil si informasjonen om de avviste pakkene) vises i dmesg-, kern.log- eller syslog-filer av / var / log /, eller Med andre ord, disse filene viser ikke bare informasjon om iptables, men mye annen informasjon, noe som gjør det litt kjedelig å bare se informasjonen relatert til iptables.

For en stund siden viste vi deg hvordan få loggene fra iptables til en annen filMen jeg må innrømme at personlig synes jeg denne prosessen er litt kompleks ^ - ^

Deretter, Hvordan får jeg iptables-loggene til en egen fil og holder den så enkel som mulig?

Løsningen er: ulogd

ulogd det er en pakke som vi installerte (en Debian eller derivater - »sudo apt-get install ulogd) og det vil tjene oss nettopp for dette som jeg nettopp har fortalt deg.

For å installere det vet du, se etter pakken ulogd i reposene sine og installere den, så vil en demon legges til dem (/etc/init.d/ulogd) ved systemstart, hvis du bruker KISS distro-lignende Arch Linux må legge til ulogd til delen av demoner som starter med systemet i /etc/rc.conf

Når de har installert det, må de legge til følgende linje i iptables-regler-skriptet:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Kjør deretter iptables-regler-skriptet igjen og voila, alt fungerer 😉

Se etter loggene i filen: /var/log/ulog/syslogemu.log

I denne filen som jeg nevner er der ulogd lokaliserer de avviste pakkeloggene, men hvis du vil at den skal være i en annen fil og ikke i denne, kan du endre linje # 53 i /etc/ulogd.conf, de bare endrer banen til filen som viser den linjen og starter daemon på nytt:

sudo /etc/init.d/ulogd restart

Hvis du ser nøye på den filen, vil du se at det er muligheter for til og med å lagre loggene i en MySQL-, SQLite- eller Postgre-database, faktisk er konfigurasjonsfilene i / usr / share / doc / ulogd /

Ok, vi har allerede iptables-loggene i en annen fil, nå hvordan skal jeg vise dem?

For dette er det enkelt hvordan ville være tilstrekkelig:

cat /var/log/ulog/syslogemu.log

Husk at bare avviste pakker blir logget, hvis du har en webserver (port 80) og har iptables konfigurert slik at alle kan få tilgang til denne webtjenesten, loggene som er relatert til dette blir ikke lagret i loggene, uten Imidlertid, hvis de har en SSH-tjeneste og gjennom iptables konfigurerte de tilgang til port 22 slik at den bare tillater en spesifikk IP, i tilfelle annen IP enn den valgte prøver å få tilgang til 22, vil dette bli lagret i loggen.

Jeg viser deg her en eksempellinje fra loggen min:

4. mars 22:29:02 exia IN = wlan0 UT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LENG = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEKV = 0 ACK = 14600 WINDOW = 0 SYN URGP = XNUMX

Som du kan se, dato og klokkeslett for tilgangsforsøket, grensesnitt (wifi i mitt tilfelle), MAC-adresse, kilde-IP for tilgangen samt destinasjons-IP (min), og flere andre data, blant annet protokollen (TCP) og destinasjonsporten (22) blir funnet. Oppsummert kl. 10:29 4. mars prøvde IP 10.10.0.1 å få tilgang til port 22 (SSH) på den bærbare datamaskinen min når den (det vil si min bærbare datamaskin) hadde IP 10.10.0.51, alt dette via Wifi (wlan0)

Som du kan se ... veldig nyttig informasjon 😉

Uansett tror jeg ikke det er mye mer å si. Jeg er ikke langt en ekspert på iptables eller ulogd, men hvis noen har problemer med dette, gi meg beskjed, og jeg vil prøve å hjelpe dem

Hilsen 😀