Nie je to prvýkrát, čo hovoríme iptables, už sme spomínali, ako urobiť pravidlá pre tabuľky iptables sa automaticky implementujú pri spustení počítača, tiež vysvetľujeme čo basic / medium cez iptables, a niekoľko ďalších vecí 🙂
Problém alebo nepríjemnosť, ktorú tí z nás, ktorí majú radi iptables, vždy nájdu v tom, že protokoly iptables (tj. Informácie o odmietnutých paketoch) sú zobrazené v súboroch dmesg, kern.log alebo syslog v adresári / var / log /, alebo Inými slovami, v týchto súboroch sa zobrazujú nielen informácie o iptables, ale aj veľa ďalších informácií, takže je trochu namáhavé vidieť iba informácie súvisiace s iptables.
Pred chvíľou sme vám ukázali, ako na to získať protokoly z iptables do iného súboru, však ... Musím sa priznať, že osobne považujem tento proces za trochu zložitý ^ - ^
Potom, Ako dostať protokoly iptables do samostatného súboru a zachovať ich čo najjednoduchšie?
Riešením je: ulogd
ulogd je to balíček, ktorý sme nainštalovali (en debian alebo deriváty - »sudo apt-get nainštalovať ulogd) a bude nám slúžiť presne na to, čo som vám práve povedal.
Ak ho chcete nainštalovať, pozrite sa na balík ulogd v ich úložiskách a nainštalovať si ich, potom k nim bude pridaný démon (/etc/init.d/ulogd) pri štarte systému, ak používate akýkoľvek typ distribúcie KISS Arch Linux by mal pridať ulogd do časti démonov, ktoré začínajú systémom v /etc/rc.conf
Po nainštalovaní musia do svojho skriptu pravidiel iptables pridať nasledujúci riadok:
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
Potom znova spustite skript pravidiel iptables a voila, všetko bude fungovať 😉
Vyhľadajte protokoly v súbore: /var/log/ulog/syslogemu.log
V tomto súbore, ktorý spomeniem, je miesto, kde predvolene ulogd vyhľadáva odmietnuté protokoly paketov. Ak však chcete, aby bol v inom súbore, a nie v tomto, môžete upraviť riadok # 53 v /etc/ulogd.conf, iba zmenia cestu k súboru, ktorý zobrazuje tento riadok, a potom reštartujú démona:
sudo /etc/init.d/ulogd restart
Ak sa podrobne pozriete na tento súbor, uvidíte, že existujú možnosti, ako dokonca uložiť protokoly do databázy MySQL, SQLite alebo Postgre, v skutočnosti sú príkladné konfiguračné súbory v adresári / usr / share / doc / ulogd /
Dobre, protokoly iptables už máme v inom súbore, ako ich teraz zobraziť?
Pre toto jednoduché ako stačilo by:
cat /var/log/ulog/syslogemu.log
Pamätajte, že sa budú protokolovať iba odmietnuté pakety, ak máte webový server (port 80) a máte konfigurované tabuľky iptables, aby mal každý prístup k tejto webovej službe, protokoly, ktoré s tým súvisia, sa do protokolov neuložia, bez toho, aby mať službu SSH a cez iptables nakonfigurovali prístup na port 22 tak, aby umožňoval iba konkrétnu IP, v prípade, že sa akákoľvek iná IP ako tá vybraná pokúsi o prístup k 22, potom sa to uloží do protokolu.
Ukazujem vám tu ukážkový riadok z môjho denníka:
4. marca 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 OKNO = 0 SYN URGP = XNUMX
Ako vidíte, dátum a čas pokusu o prístup, rozhranie (v mojom prípade Wi-Fi), MAC adresa, zdrojová IP prístupu, ako aj cieľová IP (moja) a rôzne ďalšie údaje, medzi ktorými je protokol (TCP) a cieľový port (22) sú nájdené. Stručne povedané, IP 10 sa 29. marca o 4:10.10.0.1 pokúsil získať prístup k portu 22 (SSH) môjho notebooku, keď (teda môj laptop) mal IP 10.10.0.51, a to všetko prostredníctvom Wifi (wlan0)
Ako vidíte ... naozaj užitočné informácie 😉
Každopádne si nemyslím, že by sa dalo povedať viac. Nie som zďaleka odborník na iptables alebo ulogd, ale ak má niekto s tým problém, dajte mi vedieť a pokúsim sa mu pomôcť
Zdravím 😀
https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
Pamätám si, že tým článkom som ich začal sledovať .. hehe ..
Ďakujem, česť, že ma robíš 😀
ulogd je to len pre iptables alebo je to vseobecne? umožňuje nastavenie kanálov? prihlasovanie pomocou siete?
Verte, že je to len na iptables, však hodiť 'man ulogd', aby ste sa zbavili pochybností.
Máte pravdu: „ulogd - démon protokolovania používateľského priestoru Netfilter“
+1, vynikajúce vyjadrenie!
Vďaka, prísť od vás, ktorí nepatríte k tým, ktorí najviac lichotia, znamená veľa 🙂
To neznamená, že viem viac ako ktokoľvek iný, ale že som mrzutý xD
Ešte raz ďakujem za príspevok, s odkazom na ďalší článok o kríze v hispánskej linuxovej blogosfére, tento váš príspevok - keď už hovoríme o technických príspevkoch - je iba typom príspevku, ktorý je potrebný v španielskom / kastílskom jazyku.
Kvalitné technické príspevky, ako je tento, od správcov, sú vždy vítané a idú priamo k obľúbeným 8)
Áno, pravdou je, že sú potrebné technické články ... Nikdy som sa neunavoval hovoriť, vlastne som o tom už hovoril tu - » https://blog.desdelinux.net/que-aporta-realmente-desdelinux-a-la-comunidad-global/
Každopádne ešte raz ďakujem ... skúsim to tak zostať pri technických príspevkoch 😀
pozdravy