Zobrazenie protokolov iptables v samostatnom súbore s ulogd

Nie je to prvýkrát, čo hovoríme iptables, už sme spomínali, ako urobiť pravidlá pre tabuľky iptables sa automaticky implementujú pri spustení počítača, tiež vysvetľujeme čo basic / medium cez iptables, a niekoľko ďalších vecí 🙂

Problém alebo nepríjemnosť, ktorú tí z nás, ktorí majú radi iptables, vždy nájdu v tom, že protokoly iptables (tj. Informácie o odmietnutých paketoch) sú zobrazené v súboroch dmesg, kern.log alebo syslog v adresári / var / log /, alebo Inými slovami, v týchto súboroch sa zobrazujú nielen informácie o iptables, ale aj veľa ďalších informácií, takže je trochu namáhavé vidieť iba informácie súvisiace s iptables.

Pred chvíľou sme vám ukázali, ako na to získať protokoly z iptables do iného súboru, však ... Musím sa priznať, že osobne považujem tento proces za trochu zložitý ^ - ^

Potom, Ako dostať protokoly iptables do samostatného súboru a zachovať ich čo najjednoduchšie?

Riešením je: ulogd

ulogd je to balíček, ktorý sme nainštalovali (en debian alebo deriváty - »sudo apt-get nainštalovať ulogd) a bude nám slúžiť presne na to, čo som vám práve povedal.

Ak ho chcete nainštalovať, pozrite sa na balík ulogd v ich úložiskách a nainštalovať si ich, potom k nim bude pridaný démon (/etc/init.d/ulogd) pri štarte systému, ak používate akýkoľvek typ distribúcie KISS Arch Linux by mal pridať ulogd do časti démonov, ktoré začínajú systémom v /etc/rc.conf

Po nainštalovaní musia do svojho skriptu pravidiel iptables pridať nasledujúci riadok:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Potom znova spustite skript pravidiel iptables a voila, všetko bude fungovať 😉

Vyhľadajte protokoly v súbore: /var/log/ulog/syslogemu.log

V tomto súbore, ktorý spomeniem, je miesto, kde predvolene ulogd vyhľadáva odmietnuté protokoly paketov. Ak však chcete, aby bol v inom súbore, a nie v tomto, môžete upraviť riadok # 53 v /etc/ulogd.conf, iba zmenia cestu k súboru, ktorý zobrazuje tento riadok, a potom reštartujú démona:

sudo /etc/init.d/ulogd restart

Ak sa podrobne pozriete na tento súbor, uvidíte, že existujú možnosti, ako dokonca uložiť protokoly do databázy MySQL, SQLite alebo Postgre, v skutočnosti sú príkladné konfiguračné súbory v adresári / usr / share / doc / ulogd /

Dobre, protokoly iptables už máme v inom súbore, ako ich teraz zobraziť?

Pre toto jednoduché ako stačilo by:

cat /var/log/ulog/syslogemu.log

Pamätajte, že sa budú protokolovať iba odmietnuté pakety, ak máte webový server (port 80) a máte konfigurované tabuľky iptables, aby mal každý prístup k tejto webovej službe, protokoly, ktoré s tým súvisia, sa do protokolov neuložia, bez toho, aby mať službu SSH a cez iptables nakonfigurovali prístup na port 22 tak, aby umožňoval iba konkrétnu IP, v prípade, že sa akákoľvek iná IP ako tá vybraná pokúsi o prístup k 22, potom sa to uloží do protokolu.

Ukazujem vám tu ukážkový riadok z môjho denníka:

4. marca 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 OKNO = 0 SYN URGP = XNUMX

Ako vidíte, dátum a čas pokusu o prístup, rozhranie (v mojom prípade Wi-Fi), MAC adresa, zdrojová IP prístupu, ako aj cieľová IP (moja) a rôzne ďalšie údaje, medzi ktorými je protokol (TCP) a cieľový port (22) sú nájdené. Stručne povedané, IP 10 sa 29. marca o 4:10.10.0.1 pokúsil získať prístup k portu 22 (SSH) môjho notebooku, keď (teda môj laptop) mal IP 10.10.0.51, a to všetko prostredníctvom Wifi (wlan0)

Ako vidíte ... naozaj užitočné informácie 😉

Každopádne si nemyslím, že by sa dalo povedať viac. Nie som zďaleka odborník na iptables alebo ulogd, ale ak má niekto s tým problém, dajte mi vedieť a pokúsim sa mu pomôcť

Zdravím 😀