Отображение логов iptables в отдельном файле с помощью ulogd

Это не первый раз, когда мы говорим о Iptables, мы уже упоминали ранее, как составлять правила iptables автоматически запускается при запуске компьютера, мы также объясняем, что базовый / средний по iptables, и многое другое 🙂

Проблема или раздражение, которое всегда находят те из нас, кто любит iptables, заключается в том, что журналы iptables (то есть информация об отклоненных пакетах) отображаются в файлах dmesg, kern.log или syslog из / var / log / или Другими словами, в этих файлах отображается не только информация iptables, но и много другой информации, что делает немного утомительным просмотр только информации, относящейся к iptables.

Некоторое время назад мы показали вам, как получить логи из iptables в другой файл, однако ... я должен признать, что лично я считаю этот процесс немного сложным ^ - ^

Тогда, Как вынести логи iptables в отдельный файл и сделать его максимально простым?

Решение такое: улогд

улогд это пакет, который мы установили (en Debian или производные - »sudo apt-get install ulogd) и послужит нам именно в том, что я вам только что сказал.

Чтобы установить его, как вы знаете, ищите пакет улогд в их репозитории и установите его, то к ним добавится демон (/etc/init.d/ulogd) при запуске системы, если вы используете любой дистрибутив KISS, например ArchLinux должен добавить улогд в раздел демонов, которые запускаются с системой в /etc/rc.conf

После его установки они должны добавить следующую строку в свой сценарий правил iptables:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Затем снова запустите свой скрипт правил iptables и вуаля, все будет работать 😉

Ищите логи в файле: /var/log/ulog/syslogemu.log

В этом файле, о котором я упоминал, по умолчанию ulogd находит журналы отклоненных пакетов, однако, если вы хотите, чтобы он находился в другом файле, а не в этом, вы можете изменить строку # 53 в /etc/ulogd.conf, они просто изменяют путь к файлу, который показывает эту строку, а затем перезапускают демон:

sudo /etc/init.d/ulogd restart

Если вы внимательно посмотрите на этот файл, вы увидите, что есть варианты даже для сохранения журналов в базе данных MySQL, SQLite или Postgre, на самом деле примеры файлов конфигурации находятся в / usr / share / doc / ulogd /

Хорошо, у нас уже есть логи iptables в другом файле, как теперь их показать?

Для этого простой кошка хватит:

cat /var/log/ulog/syslogemu.log

Помните, что в журнал будут регистрироваться только отклоненные пакеты, если у вас есть веб-сервер (порт 80) и iptables настроены так, чтобы каждый мог получить доступ к этой веб-службе, журналы, связанные с этим, не будут сохраняться в журналах без Однако, если у них есть служба SSH и через iptables они настроили доступ к порту 22, чтобы он разрешал только определенный IP-адрес, в случае, если любой IP-адрес, кроме выбранного, попытается получить доступ к 22, это будет сохранено в журнале.

Я показываю вам пример строки из моего журнала:

4 марта 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 WINDOW = 0 SYN URGP = XNUMX

Как видите, дата и время попытки доступа, интерфейс (в моем случае Wi-Fi), MAC-адрес, исходный IP-адрес доступа, а также IP-адрес назначения (мой) и различные другие данные, среди которых есть протокол (TCP) и порт назначения (22). Подводя итог, в 10:29 4 марта IP 10.10.0.1 попытался получить доступ к порту 22 (SSH) моего ноутбука, когда у него (то есть моего ноутбука) был IP 10.10.0.51, все это через Wi-Fi. (wlan0)

Как видите ... действительно полезная информация 😉

В любом случае, я не думаю, что есть что еще сказать. Я далеко не эксперт в iptables или ulogd, однако, если у кого-то возникнут проблемы, дайте мне знать, и я постараюсь им помочь.

Привет 😀