Это не первый раз, когда мы говорим о Iptables, мы уже упоминали ранее, как составлять правила iptables автоматически запускается при запуске компьютера, мы также объясняем, что базовый / средний по iptables, и многое другое 🙂
Проблема или раздражение, которое всегда находят те из нас, кто любит iptables, заключается в том, что журналы iptables (то есть информация об отклоненных пакетах) отображаются в файлах dmesg, kern.log или syslog из / var / log / или Другими словами, в этих файлах отображается не только информация iptables, но и много другой информации, что делает немного утомительным просмотр только информации, относящейся к iptables.
Некоторое время назад мы показали вам, как получить логи из iptables в другой файл, однако ... я должен признать, что лично я считаю этот процесс немного сложным ^ - ^
Тогда, Как вынести логи iptables в отдельный файл и сделать его максимально простым?
Решение такое: улогд
улогд это пакет, который мы установили (en Debian или производные - »sudo apt-get install ulogd) и послужит нам именно в том, что я вам только что сказал.
Чтобы установить его, как вы знаете, ищите пакет улогд в их репозитории и установите его, то к ним добавится демон (/etc/init.d/ulogd) при запуске системы, если вы используете любой дистрибутив KISS, например ArchLinux должен добавить улогд в раздел демонов, которые запускаются с системой в /etc/rc.conf
После его установки они должны добавить следующую строку в свой сценарий правил iptables:
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
Затем снова запустите свой скрипт правил iptables и вуаля, все будет работать 😉
Ищите логи в файле: /var/log/ulog/syslogemu.log
В этом файле, о котором я упоминал, по умолчанию ulogd находит журналы отклоненных пакетов, однако, если вы хотите, чтобы он находился в другом файле, а не в этом, вы можете изменить строку # 53 в /etc/ulogd.conf, они просто изменяют путь к файлу, который показывает эту строку, а затем перезапускают демон:
sudo /etc/init.d/ulogd restart
Если вы внимательно посмотрите на этот файл, вы увидите, что есть варианты даже для сохранения журналов в базе данных MySQL, SQLite или Postgre, на самом деле примеры файлов конфигурации находятся в / usr / share / doc / ulogd /
Хорошо, у нас уже есть логи iptables в другом файле, как теперь их показать?
Для этого простой кошка хватит:
cat /var/log/ulog/syslogemu.log
Помните, что в журнал будут регистрироваться только отклоненные пакеты, если у вас есть веб-сервер (порт 80) и iptables настроены так, чтобы каждый мог получить доступ к этой веб-службе, журналы, связанные с этим, не будут сохраняться в журналах без Однако, если у них есть служба SSH и через iptables они настроили доступ к порту 22, чтобы он разрешал только определенный IP-адрес, в случае, если любой IP-адрес, кроме выбранного, попытается получить доступ к 22, это будет сохранено в журнале.
Я показываю вам пример строки из моего журнала:
4 марта 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 WINDOW = 0 SYN URGP = XNUMX
Как видите, дата и время попытки доступа, интерфейс (в моем случае Wi-Fi), MAC-адрес, исходный IP-адрес доступа, а также IP-адрес назначения (мой) и различные другие данные, среди которых есть протокол (TCP) и порт назначения (22). Подводя итог, в 10:29 4 марта IP 10.10.0.1 попытался получить доступ к порту 22 (SSH) моего ноутбука, когда у него (то есть моего ноутбука) был IP 10.10.0.51, все это через Wi-Fi. (wlan0)
Как видите ... действительно полезная информация 😉
В любом случае, я не думаю, что есть что еще сказать. Я далеко не эксперт в iptables или ulogd, однако, если у кого-то возникнут проблемы, дайте мне знать, и я постараюсь им помочь.
Привет 😀
https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
Помню, с той статьи я стал подписываться на них .. хе-хе ..
Спасибо, честь, что вы мне оказываете 😀
ulogd только для iptables или вообще? позволяет устанавливать каналы? вход по сети?
Поверьте, это только для iptables, однако дайте ему «man ulogd», чтобы избавиться от сомнений.
Вы правы: "ulogd - демон ведения журнала Netfilter Userspace"
+1, отлично излагаю!
Спасибо, исходящее от вас, не из тех, кто больше всего ленит, значит очень много 🙂
Это не значит, что я знаю больше, чем кто-либо, но что я сварливый xD
Еще раз спасибо за сообщение, относящееся к другой статье о кризисе латиноамериканской блогосферы Linux, этот ваш пост - говоря о техническом посте - как раз тот тип поста, который необходим на испанском / кастильском языке.
Подобные качественные технические сообщения от системных администраторов всегда приветствуются и сразу попадают в избранное 8)
Да, правда в том, что технические статьи - это то, что нужно ... Я не устаю говорить об этом, на самом деле я уже говорил об этом здесь - » https://blog.desdelinux.net/que-aporta-realmente-desdelinux-a-la-comunidad-global/
В любом случае, еще раз спасибо ... Я постараюсь оставаться таким с техническими сообщениями 😀
привет