Mostrando logs de iptables em arquivo separado com ulogd

Não é a primeira vez que falamos sobre iptables, já mencionamos antes como fazer regras de iptables são implementados automaticamente quando você inicia o computador, também explicamos o que básico / médio sobre iptables, e várias outras coisas 🙂

O problema ou aborrecimento que aqueles de nós que gostam do iptables sempre descobrem é que os logs do iptables (isto é, as informações dos pacotes rejeitados) são mostrados nos arquivos dmesg, kern.log ou syslog de / var / log /, ou Nestes arquivos, não apenas as informações do iptables são mostradas, mas também muitas outras informações, tornando um pouco tedioso ver apenas as informações relacionadas ao iptables.

Um tempo atrás nós mostramos como obter os logs do iptables para outro arquivo, no entanto ... Tenho que admitir que pessoalmente acho esse processo um pouco complexo ^ - ^

Em seguida, Como obter os logs do iptables em um arquivo separado e torná-lo o mais simples possível?

A solução é: Ulogd

Ulogd é um pacote que instalamos (en Debian ou derivados - »sudo apt-get install ulogd) e isso nos servirá exatamente pelo que acabei de dizer.

Para instalar você conhece, procure o pacote Ulogd em seus repositórios e instalá-lo, então um daemon será adicionado a eles (/etc/init.d/ulogd) na inicialização do sistema, se você usar qualquer distro KISS como ArchLinux deve adicionar Ulogd para a seção de daemons que começam com o sistema em /etc/rc.conf

Depois de instalá-lo, eles devem adicionar a seguinte linha em seu script de regras iptables:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Em seguida, execute o script de regras do iptables novamente e voila, tudo estará funcionando 😉

Procure os registros no arquivo: /var/log/ulog/syslogemu.log

Neste arquivo que menciono é onde, por padrão, o ulogd localiza os logs de pacotes rejeitados, no entanto, se você quiser que esteja em outro arquivo e não neste, você pode modificar a linha # 53 em /etc/ulogd.conf, eles apenas mudam o caminho do arquivo que mostra essa linha e reiniciam o daemon:

sudo /etc/init.d/ulogd restart

Se você olhar atentamente para esse arquivo, verá que existem opções para até mesmo salvar os logs em um banco de dados MySQL, SQLite ou Postgre, na verdade os arquivos de configuração de exemplo estão em / usr / share / doc / ulogd /

Ok, já temos os logs do iptables em outro arquivo, agora como mostrá-los?

Para isso um simples gato bastaria:

cat /var/log/ulog/syslogemu.log

Lembre-se, apenas os pacotes rejeitados serão logados, se você tiver um servidor web (porta 80) e tiver iptables configurado para que todos possam acessar este serviço web, os logs relacionados a este não serão salvos nos logs, sem Porém, caso possuam serviço SSH e através do iptables configuraram o acesso à porta 22 de forma que só permita um IP específico, caso algum IP diferente do escolhido tente acessar a 22 então este será salvo no log.

Eu mostro aqui um exemplo de linha do meu log:

4 de março 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 WINDOW = 0 SYN URGP = XNUMX

Como você pode ver, a data e hora da tentativa de acesso, interface (Wi-Fi no meu caso), endereço MAC, IP de origem do acesso bem como o IP de destino (meu), e vários outros dados entre os quais existem o protocolo (TCP) e a porta de destino (22). Para resumir, às 10h29 do dia 4 de março, o IP 10.10.0.1 tentou acessar a porta 22 (SSH) do meu laptop quando ele (ou seja, meu laptop) tinha o IP 10.10.0.51, tudo isso por meio de wi-fi (wlan0)

Como você pode ver ... informações realmente úteis 😉

De qualquer forma, não acho que haja muito mais a dizer. Não sou de longe um especialista em iptables ou ulogd, no entanto, se alguém tiver algum problema com isso, me avise e tentarei ajudá-lo

Saudações 😀


O conteúdo do artigo segue nossos princípios de Ética editorial. Para relatar um erro, clique Clique aqui.

9 comentários, deixe o seu

Deixe um comentário

Seu endereço de email não será publicado.

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.

  1.   Renelopez91 dito

    https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
    Eu lembro que com aquele artigo comecei a segui-los .. hehe ..

    1.    KZKG ^ Gaara dito

      Obrigado, honra que você me faz 😀

  2.   caçador dito

    é ulogd apenas para iptables ou é geral? permite definir canais? registrando pela rede?

    1.    KZKG ^ Gaara dito

      Acredite que é apenas para iptables, no entanto, dê a ele um 'man ulogd' para se livrar de dúvidas.

      1.    caçador dito

        Você está correto: "ulogd - The Netfilter Userspace Logging Daemon"

  3.   msx dito

    +1, ótimo articulado!

    1.    KZKG ^ Gaara dito

      Obrigado, vindo de você que não é um daqueles que mais elogia significa muito 🙂

      1.    msx dito

        Isso não significa que eu saiba mais do que ninguém, mas que sou mal-humorado xD
        Obrigado mais uma vez pela postagem, referindo-se ao outro artigo sobre a crise da blogosfera do linux hispânico, esta postagem sua - falando em postagem técnica - é exatamente o tipo de postagem que se precisa em espanhol / castelhano.
        Postagens técnicas de qualidade como esta, de administradores de sistemas, são sempre bem-vindas e vão direto para os favoritos 8)

        1.    KZKG ^ Gaara dito

          Sim, a verdade é que faltam artigos técnicos ... Não me canso de falar, aliás já falei sobre isso aqui - » https://blog.desdelinux.net/que-aporta-realmente-desdelinux-a-la-comunidad-global/

          De qualquer forma, obrigado de novo ... Vou tentar ficar assim com posts técnicos 😀

          lembranças

bool (verdadeiro)