Beleženje vseh dejavnosti z iptables

iptablesPrivzeto ima pravilo filtra v načinu »Sprejmi vse«, to pomeni, da omogoča vstop in izklop vseh povezav z našim računalnikom ali iz njega, kaj pa, če želimo zabeležiti vse podatke o povezavah do naših strežnikov ali računalnikov?

Opomba: Postopek, ki ga bom zdaj izvedel, velja 100% v distribucijah Debian/Na osnovi Debiana, torej če uporabljate Slackware, Fedora, CentOS, OpenSuSe, postopek morda ni enak, priporočamo, da pred uporabo spodnjega pojasnila preberete in razumete prijavni sistem vaše distribucije. Obstaja tudi možnost namestitve rsyslog v vašo distribucijo, če je na voljo v skladiščih, čeprav je v tej vadnici na koncu razložen tudi syslog.

Zaenkrat vse dobro, ampak kajKje se bomo prijavili? Preprosto, v datoteki «/var/log/firewall/iptables.log", kaj ne obstaja, dokler sami ne verjamemo ...

1- Datoteko moramo ustvariti «iptables.log»Znotraj mape«/ var / log / firewall»Da jo moramo ustvariti, saj tudi ta ne obstaja.

mkdir -p / var / log / firewall /
dotaknite se /var/log/firewall/iptables.log

2- Dovoljenja, zelo pomembno ...

chmod 600 /var/log/firewall/iptables.log
chown root: adm /var/log/firewall/iptables.log

3- rsyslog, demonski prijavni demon, prebere konfiguracijo iz «/etc/rsyslog.d«, Zato moramo ustvariti datoteko, ki jo bom poklical«požarni zid.conf»Iz katerega lahko rsyslog razlaga, kaj želimo storiti.

dotaknite se /etc/rsyslog.d/firewall.conf

In znotraj ga pustimo da pade nežno naslednjo vsebino:

: msg, vsebuje, "iptables:" - / var / log / firewall / iptables.log
& ~

Nimam niti najmanjše ideje,kaj počne teh nekaj vrstic?

Prva vrstica preveri zabeležene podatke za niz «iptables: »In ga doda v datoteko«/var/log/firewall/iptables.log«

Drugi pa ustavi obdelavo podatkov, zabeleženih s prejšnjim vzorcem, tako da se ne pošiljajo naprej «/ var / log / sporočila".

4- Vrtenje dnevniške datoteke z logrotat.

Ustvariti moramo znotraj «/etc/logrotate.d/" datoteka "požarni zid»Ki bo vseboval naslednjo vsebino:

/var/log/firewall/iptables.log
{
zavrtite 7
vsak dan
velikost 10M
dateext
missingok
ustvari 600 korenskih adm
nepreklicno
stiskanje
delaycompress
porotirati
invoke-rc.d rsyslog ponovno naloži> / dev / null
končni skript
}

Če želite dnevnike 7-krat zasukati, preden jih izbrišete, 1-krat na dan, največja velikost dnevnika 10 MB, stisnjena, z datumom, ne da bi se pojavila napaka, če dnevnik ne obstaja, ustvarjen kot root.

5- Znova zaženite, tako kot vsi srečni konci xD, demon rsyslog:

/etc/init.d/rsyslog ponovni zagon

Kako dokazati, da vse to deluje?

Poskusimo SSH.

namestitev OpenSSH (v primeru, da ga nimajo nameščenega ...):

apt-get namestite openssh-server

Pred nadaljevanjem moramo v konzoli zagnati kot root:

iptables -A INPUT -p tcp --dport 22 --syn -j LOG --log-prefix "iptables: " --log-level 4

Izvedba tega stavka iptables bo zabeležila dovolj informacij, da bomo pokazali, da to, kar smo storili, ni zaman. V tem stavku povemo iptables, da zabeleži vse informacije, ki jim pridejo prek vrat 22. Če želite preizkusiti z drugimi storitvami, samo spremenite številko vrat, na primer 3306 za MySQL, in samo navedite primer, če želite več informacij, preberite to zelo dobro dokumentirano vadnico in temelji na tipičnih primerih najpogosteje uporabljenih konfiguracij.

SSH privzeto uporablja vrata 22, zato bomo z njim preizkusili. Po namestitvi openssh se nanj povežemo.

ssh pepe @ test-server

Če želite videti dnevnike, z repom rešite to težavo:

tail -f /var/log/firewall/iptables.log

Iptables v tem primeru beležijo vse, dan, čas, ip, mac itd., Zaradi česar je odličen za spremljanje naših strežnikov. Majhna pomoč, ki nikoli ne boli.

Zdaj, ko upoštevamo, da uporabljamo drugo distro, kot sem že rekel na začetku, se na splošno uporablja rsyslog, ali kaj podobnega. Če vaš distro uporablja syslog, če želimo izvesti isto vajo, jo moramo nekoliko urediti / spremeniti syslog.conf

nano /etc/syslog.conf

Dodajte in shranite naslednjo vrstico:

kern.warning /var/log/firewall/iptables.log

In potem, veste, srečen konec:

/etc/init.d/sysklogd ponovni zagon

Rezultat: enako.

Za zdaj je to vse, v prihodnjih objavah se bomo še naprej igrali z iptables.

reference:

Prisili iptables, da se prijavijo v drugo datoteko

Prijavite iptables v ločeno datoteko z rsyslog

Vadnica za konfiguracijo Iptables v sistemih Fedora / RHEL


8 komentarja, pustite svojega

Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.

  1.   FerreryGuardia je dejal

    Odličen ta "mini-priročnik" za BOFH, ki ga počnete po malem

  2.   koratsuki je dejal

    Hvala, malo po malo bom dal podrobnosti in podatke o iptables, ki sem jih moral vedeti iz svojega dela, ki jih včasih potrebujemo in so na internetu zelo slabo razloženi, vse uporabnik ... xD

    1.    KZKG ^ Gaara je dejal

      Ob tej priložnosti vas pozdravljam, član 😀
      Resnično lahko veliko prispevate, res dobro poznate omrežja, sisteme, požarne zidove itd., Zato bom (že sem) eden izmed mnogih bralcev, ki jih boste imeli hahaha.

      Lep pozdrav in no ... saj veste, karkoli je treba 😀

    2.    isar je dejal

      Veselim se teh predmetov ^^

  3.   Hugo je dejal

    Daj no Koratsuki, nisem vedel, da si obiskal ta blog.

    Mimogrede, druga različica beleženja dejavnosti požarnega zidu uporablja paket ulogd, ki so ga ustvarili ljudje projekta netfilter, da bi olajšali ločevanje tovrstnih sledi (omogoča njihovo shranjevanje na različne načine). To je pristop, ki ga običajno uporabljam. Uporaba je enostavna, na primer:

    iptables -A INPUT -p udp -m multiport ! --ports 53,67:68 -m state --state NEW -j ULOG --ulog-prefix "Solicitud UDP dudosa"

  4.   koratsuki je dejal

    Na delovno mesto bom moral dati F5, Ulogd način dela mi ustreza, tudi MySQL beleži tip: D.

  5.   MSX je dejal

    Dobra objava, tako nadaljujte.

  6.   kinoloko je dejal

    Pozdravljeni šef, kako gre?
    Bi mi lahko pomagali?
    Ker vadnice ne dobim in je bolj jasna kot voda, ne vem, kje se motim