Отображение логов iptables в отдельном файле с помощью ulogd

Это не первый раз, когда мы говорим о Iptables, мы уже упоминали ранее, как составлять правила iptables автоматически запускается при запуске компьютера, мы также объясняем, что базовый / средний по iptables, и многое другое 🙂

Проблема или раздражение, которое всегда находят те из нас, кто любит iptables, заключается в том, что журналы iptables (то есть информация об отклоненных пакетах) отображаются в файлах dmesg, kern.log или syslog из / var / log / или Другими словами, в этих файлах отображается не только информация iptables, но и много другой информации, что делает немного утомительным просмотр только информации, относящейся к iptables.

Некоторое время назад мы показали вам, как получить логи из iptables в другой файл, однако ... я должен признать, что лично я считаю этот процесс немного сложным ^ - ^

Тогда, Как вынести логи iptables в отдельный файл и сделать его максимально простым?

Решение такое: ulogd

ulogd это пакет, который мы установили (en Debian или производные - »sudo apt-get install ulogd) и послужит нам именно в том, что я вам только что сказал.

Чтобы установить его, как вы знаете, ищите пакет ulogd в их репозитории и установите его, то к ним добавится демон (/etc/init.d/ulogd) при запуске системы, если вы используете любой дистрибутив KISS, например ArchLinux должен добавить ulogd в раздел демонов, которые запускаются с системой в /etc/rc.conf

После его установки они должны добавить следующую строку в свой сценарий правил iptables:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Затем снова запустите свой скрипт правил iptables и вуаля, все будет работать 😉

Ищите логи в файле: /var/log/ulog/syslogemu.log

В этом файле, о котором я упоминал, по умолчанию ulogd находит журналы отклоненных пакетов, однако, если вы хотите, чтобы он находился в другом файле, а не в этом, вы можете изменить строку # 53 в /etc/ulogd.conf, они просто изменяют путь к файлу, который показывает эту строку, а затем перезапускают демон:

sudo /etc/init.d/ulogd restart

Если вы внимательно посмотрите на этот файл, вы увидите, что есть варианты даже для сохранения журналов в базе данных MySQL, SQLite или Postgre, на самом деле примеры файлов конфигурации находятся в / usr / share / doc / ulogd /

Хорошо, у нас уже есть логи iptables в другом файле, как теперь их показать?

Для этого простой кошка хватит:

cat /var/log/ulog/syslogemu.log

Помните, что в журнал будут регистрироваться только отклоненные пакеты, если у вас есть веб-сервер (порт 80) и iptables настроены так, чтобы каждый мог получить доступ к этой веб-службе, журналы, связанные с этим, не будут сохраняться в журналах без Однако, если у них есть служба SSH и через iptables они настроили доступ к порту 22, чтобы он разрешал только определенный IP-адрес, в случае, если любой IP-адрес, кроме выбранного, попытается получить доступ к 22, это будет сохранено в журнале.

Я показываю вам пример строки из моего журнала:

4 марта 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 WINDOW = 0 SYN URGP = XNUMX

Как видите, дата и время попытки доступа, интерфейс (в моем случае Wi-Fi), MAC-адрес, исходный IP-адрес доступа, а также IP-адрес назначения (мой) и различные другие данные, среди которых есть протокол (TCP) и порт назначения (22). Подводя итог, в 10:29 4 марта IP 10.10.0.1 попытался получить доступ к порту 22 (SSH) моего ноутбука, когда у него (то есть моего ноутбука) был IP 10.10.0.51, все это через Wi-Fi. (wlan0)

Как видите ... действительно полезная информация 😉

В любом случае, я не думаю, что есть что еще сказать. Я далеко не эксперт в iptables или ulogd, однако, если у кого-то возникнут проблемы, дайте мне знать, и я постараюсь им помочь.

Привет 😀


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

9 комментариев, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   renelopez91 сказал

    https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
    Помню, с той статьи я стал подписываться на них .. хе-хе ..

    1.    КЗКГ ^ Гаара сказал

      Спасибо, честь, что вы мне оказываете 😀

  2.   dhunter сказал

    ulogd только для iptables или вообще? позволяет устанавливать каналы? вход по сети?

    1.    КЗКГ ^ Гаара сказал

      Поверьте, это только для iptables, однако дайте ему «man ulogd», чтобы избавиться от сомнений.

      1.    dhunter сказал

        Вы правы: "ulogd - демон ведения журнала Netfilter Userspace"

  3.   MSX сказал

    +1, отлично излагаю!

    1.    КЗКГ ^ Гаара сказал

      Спасибо, исходящее от вас, не из тех, кто больше всего ленит, значит очень много 🙂

      1.    MSX сказал

        Это не значит, что я знаю больше, чем кто-либо, но что я сварливый xD
        Еще раз спасибо за сообщение, относящееся к другой статье о кризисе латиноамериканской блогосферы Linux, этот ваш пост - говоря о техническом посте - как раз тот тип поста, который необходим на испанском / кастильском языке.
        Подобные качественные технические сообщения от системных администраторов всегда приветствуются и сразу попадают в избранное 8)

        1.    КЗКГ ^ Гаара сказал

          Да, правда в том, что технические статьи - это то, что нужно ... Я не устаю говорить об этом, на самом деле я уже говорил об этом здесь - » https://blog.desdelinux.net/que-aporta-realmente-desdelinux-a-la-comunidad-global/

          В любом случае, еще раз спасибо ... Я постараюсь оставаться таким с техническими сообщениями 😀

          привет