Pokazywanie logów iptables w oddzielnym pliku z ulogd

To nie pierwszy raz, o którym mówimy iptables, wspomnieliśmy już wcześniej, jak tworzyć reguły iptables są automatycznie implementowane po uruchomieniu komputera, wyjaśniamy też, co basic / medium over iptablesi kilka innych rzeczy 🙂

Problem lub irytacja, którą zawsze widzą ci z nas, którzy lubią iptables, polega na tym, że logi iptables (czyli informacje o odrzuconych pakietach) są wyświetlane w plikach dmesg, kern.log lub syslog w / var / log / lub Innymi słowy, nie tylko informacje iptables są wyświetlane w tych plikach, ale także wiele innych informacji, przez co wyświetlanie tylko informacji związanych z iptables jest trochę uciążliwe.

Jakiś czas temu pokazaliśmy, jak to zrobić pobierz logi z iptables do innego plikujednak… muszę przyznać, że osobiście uważam ten proces za nieco skomplikowany ^ - ^

Następnie Jak przenieść logi iptables do osobnego pliku i uczynić to tak prostym, jak to tylko możliwe?

Rozwiązaniem jest: ulogd

ulogd jest to pakiet, który zainstalowaliśmy (en Debian lub pochodne - »sudo apt-get install ulogd) i posłuży nam dokładnie za to, o czym ci właśnie powiedziałem.

Aby go zainstalować, poszukaj pakietu ulogd w ich repozytoriach i zainstaluj go, a następnie zostanie do nich dodany demon (/etc/init.d/ulogd) podczas uruchamiania systemu, jeśli używasz jakiejkolwiek dystrybucji KISS, takiej jak ArchLinux należy dodać ulogd do sekcji demonów, które zaczynają się od systemu w /etc/rc.conf

Po zainstalowaniu muszą dodać następujący wiersz w swoim skrypcie reguł iptables:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Następnie ponownie uruchom skrypt reguł iptables i voila, wszystko będzie działać 😉

Poszukaj dzienników w pliku: /var/log/ulog/syslogemu.log

W tym pliku, o którym wspomniałem, domyślnie ulogd lokalizuje dzienniki odrzuconych pakietów, jednak jeśli chcesz, aby były w innym pliku, a nie w tym, możesz zmodyfikować wiersz # 53 w /etc/ulogd.conf, po prostu zmieniają ścieżkę do pliku, który pokazuje tę linię, a następnie restartują demona:

sudo /etc/init.d/ulogd restart

Jeśli przyjrzysz się uważnie temu plikowi, zobaczysz, że istnieją opcje nawet zapisywania dzienników w bazie danych MySQL, SQLite lub Postgre, w rzeczywistości przykładowe pliki konfiguracyjne znajdują się w / usr / share / doc / ulogd /

Ok, mamy już logi iptables w innym pliku, teraz jak je pokazać?

Do tego prosty jak wystarczy:

cat /var/log/ulog/syslogemu.log

Pamiętaj, że logowane będą tylko odrzucone pakiety, jeśli masz serwer WWW (port 80) i masz skonfigurowane iptables tak, aby każdy mógł uzyskać dostęp do tej usługi internetowej, logi z tym związane nie zostaną zapisane w logach, bez. mają usługę SSH i przez iptables skonfigurowali dostęp do portu 22 tak, aby zezwalał tylko na określony adres IP, w przypadku gdy inny adres IP inny niż wybrany będzie próbował uzyskać dostęp do 22, zostanie to zapisane w dzienniku.

Pokażę Ci tutaj przykładową linię z mojego dziennika:

4 marca 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 WINDOW = 0 SYN URGP = XNUMX

Jak widać, data i godzina próby uzyskania dostępu, interfejs (w moim przypadku Wi-Fi), adres MAC, źródłowy adres IP dostępu, a także docelowy adres IP (mój) i różne inne dane, wśród których są protokół (TCP) i port docelowy (22). Podsumowując, 10 marca o godzinie 29:4, IP 10.10.0.1 próbował uzyskać dostęp do portu 22 (SSH) mojego laptopa, gdy ten (czyli mój laptop) miał IP 10.10.0.51, wszystko to przez Wi-Fi (wlan0)

Jak widać ... naprawdę przydatne informacje 😉

W każdym razie nie sądzę, aby można było powiedzieć wiele więcej. Zdecydowanie nie jestem ekspertem w iptables czy ulogd, jednak jeśli ktoś ma z tym problem to daj mi znać a postaram się im pomóc

Pozdrowienia 😀