To nie pierwszy raz, o którym mówimy iptables, wspomnieliśmy już wcześniej, jak tworzyć reguły iptables są automatycznie implementowane po uruchomieniu komputera, wyjaśniamy też, co basic / medium over iptablesi kilka innych rzeczy 🙂
Problem lub irytacja, którą zawsze widzą ci z nas, którzy lubią iptables, polega na tym, że logi iptables (czyli informacje o odrzuconych pakietach) są wyświetlane w plikach dmesg, kern.log lub syslog w / var / log / lub Innymi słowy, nie tylko informacje iptables są wyświetlane w tych plikach, ale także wiele innych informacji, przez co wyświetlanie tylko informacji związanych z iptables jest trochę uciążliwe.
Jakiś czas temu pokazaliśmy, jak to zrobić pobierz logi z iptables do innego plikujednak… muszę przyznać, że osobiście uważam ten proces za nieco skomplikowany ^ - ^
Następnie Jak przenieść logi iptables do osobnego pliku i uczynić to tak prostym, jak to tylko możliwe?
Rozwiązaniem jest: ulogd
ulogd jest to pakiet, który zainstalowaliśmy (en Debian lub pochodne - »sudo apt-get install ulogd) i posłuży nam dokładnie za to, o czym ci właśnie powiedziałem.
Aby go zainstalować, poszukaj pakietu ulogd w ich repozytoriach i zainstaluj go, a następnie zostanie do nich dodany demon (/etc/init.d/ulogd) podczas uruchamiania systemu, jeśli używasz jakiejkolwiek dystrybucji KISS, takiej jak ArchLinux należy dodać ulogd do sekcji demonów, które zaczynają się od systemu w /etc/rc.conf
Po zainstalowaniu muszą dodać następujący wiersz w swoim skrypcie reguł iptables:
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
Następnie ponownie uruchom skrypt reguł iptables i voila, wszystko będzie działać 😉
Poszukaj dzienników w pliku: /var/log/ulog/syslogemu.log
W tym pliku, o którym wspomniałem, domyślnie ulogd lokalizuje dzienniki odrzuconych pakietów, jednak jeśli chcesz, aby były w innym pliku, a nie w tym, możesz zmodyfikować wiersz # 53 w /etc/ulogd.conf, po prostu zmieniają ścieżkę do pliku, który pokazuje tę linię, a następnie restartują demona:
sudo /etc/init.d/ulogd restart
Jeśli przyjrzysz się uważnie temu plikowi, zobaczysz, że istnieją opcje nawet zapisywania dzienników w bazie danych MySQL, SQLite lub Postgre, w rzeczywistości przykładowe pliki konfiguracyjne znajdują się w / usr / share / doc / ulogd /
Ok, mamy już logi iptables w innym pliku, teraz jak je pokazać?
Do tego prosty jak wystarczy:
cat /var/log/ulog/syslogemu.log
Pamiętaj, że logowane będą tylko odrzucone pakiety, jeśli masz serwer WWW (port 80) i masz skonfigurowane iptables tak, aby każdy mógł uzyskać dostęp do tej usługi internetowej, logi z tym związane nie zostaną zapisane w logach, bez. mają usługę SSH i przez iptables skonfigurowali dostęp do portu 22 tak, aby zezwalał tylko na określony adres IP, w przypadku gdy inny adres IP inny niż wybrany będzie próbował uzyskać dostęp do 22, zostanie to zapisane w dzienniku.
Pokażę Ci tutaj przykładową linię z mojego dziennika:
4 marca 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 WINDOW = 0 SYN URGP = XNUMX
Jak widać, data i godzina próby uzyskania dostępu, interfejs (w moim przypadku Wi-Fi), adres MAC, źródłowy adres IP dostępu, a także docelowy adres IP (mój) i różne inne dane, wśród których są protokół (TCP) i port docelowy (22). Podsumowując, 10 marca o godzinie 29:4, IP 10.10.0.1 próbował uzyskać dostęp do portu 22 (SSH) mojego laptopa, gdy ten (czyli mój laptop) miał IP 10.10.0.51, wszystko to przez Wi-Fi (wlan0)
Jak widać ... naprawdę przydatne informacje 😉
W każdym razie nie sądzę, aby można było powiedzieć wiele więcej. Zdecydowanie nie jestem ekspertem w iptables czy ulogd, jednak jeśli ktoś ma z tym problem to daj mi znać a postaram się im pomóc
Pozdrowienia 😀
https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
Pamiętam, że tym artykułem zacząłem ich śledzić .. hehe ..
Dziękuję, zaszczyt, że mnie robisz 😀
jest ulogd tylko dla iptables, czy jest to ogólne? pozwala na ustawienie kanałów? logowanie przez sieć?
Uwierz, że jest to tylko dla iptables, jednak daj mu „ulogę człowieka”, aby pozbyć się wątpliwości.
Masz rację: „ulogd - demon rejestrujący przestrzeń użytkownika Netfilter”
+1, świetna artykulacja!
Dzięki, że pochodzisz od ciebie, który nie należy do tych, którzy robią najwięcej pochlebstw, wiele znaczy
To nie znaczy, że wiem więcej niż ktokolwiek inny, ale że jestem zrzędliwy xD
Jeszcze raz dziękuję za post, odnoszący się do innego artykułu o kryzysie latynoskiej blogosfery linuksowej, ten twój post - mówiąc o poście technicznym - jest po prostu typem postu, który jest potrzebny w języku hiszpańskim / kastylijskim.
Takie wysokiej jakości posty techniczne od administratorów są zawsze mile widziane i przechodzą bezpośrednio do ulubionych 8)
Tak, prawda jest taka, że potrzebne są artykuły techniczne ... Nie mam dość mówienia tego, właściwie już o tym tutaj mówiłem - » https://blog.desdelinux.net/que-aporta-realmente-desdelinux-a-la-comunidad-global/
W każdym razie jeszcze raz dziękuję ... Postaram się tak pozostać przy stanowiskach technicznych 😀
pozdrowienia