Mostrando logs de iptables em arquivo separado com ulogd

Não é a primeira vez que falamos sobre iptables, já mencionamos antes como fazer regras de iptables são implementados automaticamente quando você inicia o computador, também explicamos o que básico / médio sobre iptables, e várias outras coisas 

O problema ou aborrecimento que aqueles de nós que gostam do iptables sempre descobrem é que os logs do iptables (isto é, as informações dos pacotes rejeitados) são mostrados nos arquivos dmesg, kern.log ou syslog de / var / log /, ou Nestes arquivos, não apenas as informações do iptables são mostradas, mas também muitas outras informações, tornando um pouco tedioso ver apenas as informações relacionadas ao iptables.

Um tempo atrás nós mostramos como obter os logs do iptables para outro arquivo, no entanto ... Tenho que admitir que pessoalmente acho esse processo um pouco complexo ^ - ^

Em seguida, Como obter os logs do iptables em um arquivo separado e torná-lo o mais simples possível?

A solução é: Ulogd

Ulogd é um pacote que instalamos (en Debian ou derivados - »sudo apt-get install ulogd) e isso nos servirá exatamente pelo que acabei de dizer.

Para instalar você conhece, procure o pacote Ulogd em seus repositórios e instalá-lo, então um daemon será adicionado a eles (/etc/init.d/ulogd) na inicialização do sistema, se você usar qualquer distro KISS como ArchLinux deve adicionar Ulogd para a seção de daemons que começam com o sistema em /etc/rc.conf

Depois de instalá-lo, eles devem adicionar a seguinte linha em seu script de regras iptables:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Em seguida, execute seu script de regras do iptables novamente e pronto, tudo estará funcionando 

Procure os registros no arquivo: /var/log/ulog/syslogemu.log

Neste arquivo que menciono é onde, por padrão, o ulogd localiza os logs de pacotes rejeitados, no entanto, se você quiser que esteja em outro arquivo e não neste, você pode modificar a linha # 53 em /etc/ulogd.conf, eles apenas mudam o caminho do arquivo que mostra essa linha e reiniciam o daemon:

sudo /etc/init.d/ulogd restart

Se você olhar atentamente para esse arquivo, verá que existem opções para até mesmo salvar os logs em um banco de dados MySQL, SQLite ou Postgre, na verdade os arquivos de configuração de exemplo estão em / usr / share / doc / ulogd /

Ok, já temos os logs do iptables em outro arquivo, agora como mostrá-los?

Para isso um simples gato bastaria:

cat /var/log/ulog/syslogemu.log

Lembre-se, apenas os pacotes rejeitados serão logados, se você tiver um servidor web (porta 80) e tiver iptables configurado para que todos possam acessar este serviço web, os logs relacionados a este não serão salvos nos logs, sem Porém, caso possuam serviço SSH e através do iptables configuraram o acesso à porta 22 de forma que só permita um IP específico, caso algum IP diferente do escolhido tente acessar a 22 então este será salvo no log.

Eu mostro aqui um exemplo de linha do meu log:

4 de março 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 WINDOW = 0 SYN URGP = XNUMX

Como você pode ver, a data e hora da tentativa de acesso, interface (Wi-Fi no meu caso), endereço MAC, IP de origem do acesso bem como o IP de destino (meu), e vários outros dados entre os quais existem o protocolo (TCP) e a porta de destino (22). Para resumir, às 10h29 do dia 4 de março, o IP 10.10.0.1 tentou acessar a porta 22 (SSH) do meu laptop quando ele (ou seja, meu laptop) tinha o IP 10.10.0.51, tudo isso por meio de wi-fi (wlan0)

Como você pode ver... informações realmente úteis 

De qualquer forma, não acho que haja muito mais a dizer. Não sou de longe um especialista em iptables ou ulogd, no entanto, se alguém tiver algum problema com isso, me avise e tentarei ajudá-lo

Saudações 