iptablesPrivzeto ima pravilo filtra v načinu »Sprejmi vse«, to pomeni, da omogoča vstop in izklop vseh povezav z našim računalnikom ali iz njega, kaj pa, če želimo zabeležiti vse podatke o povezavah do naših strežnikov ali računalnikov?
Opomba: Postopek, ki ga bom zdaj izvedel, velja 100% v distribucijah Debian/Na osnovi Debiana, torej če uporabljate Slackware, Fedora, CentOS, OpenSuSe, postopek morda ni enak, priporočamo, da pred uporabo spodnjega pojasnila preberete in razumete prijavni sistem vaše distribucije. Obstaja tudi možnost namestitve rsyslog v vašo distribucijo, če je na voljo v skladiščih, čeprav je v tej vadnici na koncu razložen tudi syslog.
Zaenkrat vse dobro, ampak kajKje se bomo prijavili? Preprosto, v datoteki «/var/log/firewall/iptables.log", kaj ne obstaja, dokler sami ne verjamemo ...
1- Datoteko moramo ustvariti «iptables.log»Znotraj mape«/ var / log / firewall»Da jo moramo ustvariti, saj tudi ta ne obstaja.
mkdir -p / var / log / firewall /
dotaknite se /var/log/firewall/iptables.log
2- Dovoljenja, zelo pomembno ...
chmod 600 /var/log/firewall/iptables.log
chown root: adm /var/log/firewall/iptables.log
3- rsyslog, demonski prijavni demon, prebere konfiguracijo iz «/etc/rsyslog.d«, Zato moramo ustvariti datoteko, ki jo bom poklical«požarni zid.conf»Iz katerega lahko rsyslog razlaga, kaj želimo storiti.
dotaknite se /etc/rsyslog.d/firewall.conf
In znotraj ga pustimo da pade nežno naslednjo vsebino:
: msg, vsebuje, "iptables:" - / var / log / firewall / iptables.log
& ~
Nimam niti najmanjše ideje,kaj počne teh nekaj vrstic?
Prva vrstica preveri zabeležene podatke za niz «iptables: »In ga doda v datoteko«/var/log/firewall/iptables.log«
Drugi pa ustavi obdelavo podatkov, zabeleženih s prejšnjim vzorcem, tako da se ne pošiljajo naprej «/ var / log / sporočila".
4- Vrtenje dnevniške datoteke z logrotat.
Ustvariti moramo znotraj «/etc/logrotate.d/" datoteka "požarni zid»Ki bo vseboval naslednjo vsebino:
/var/log/firewall/iptables.log
{
zavrtite 7
vsak dan
velikost 10M
dateext
missingok
ustvari 600 korenskih adm
nepreklicno
stiskanje
delaycompress
porotirati
invoke-rc.d rsyslog ponovno naloži> / dev / null
končni skript
}
Če želite dnevnike 7-krat zasukati, preden jih izbrišete, 1-krat na dan, največja velikost dnevnika 10 MB, stisnjena, z datumom, ne da bi se pojavila napaka, če dnevnik ne obstaja, ustvarjen kot root.
5- Znova zaženite, tako kot vsi srečni konci xD, demon rsyslog:
/etc/init.d/rsyslog ponovni zagon
Kako dokazati, da vse to deluje?
Poskusimo SSH.
namestitev OpenSSH (v primeru, da ga nimajo nameščenega ...):
apt-get namestite openssh-server
Pred nadaljevanjem moramo v konzoli zagnati kot root:
iptables -A INPUT -p tcp --dport 22 --syn -j LOG --log-prefix "iptables: " --log-level 4
Izvedba tega stavka iptables bo zabeležila dovolj informacij, da bomo pokazali, da to, kar smo storili, ni zaman. V tem stavku povemo iptables, da zabeleži vse informacije, ki jim pridejo prek vrat 22. Če želite preizkusiti z drugimi storitvami, samo spremenite številko vrat, na primer 3306 za MySQL, in samo navedite primer, če želite več informacij, preberite to zelo dobro dokumentirano vadnico in temelji na tipičnih primerih najpogosteje uporabljenih konfiguracij.
SSH privzeto uporablja vrata 22, zato bomo z njim preizkusili. Po namestitvi openssh se nanj povežemo.
ssh pepe @ test-server
Če želite videti dnevnike, z repom rešite to težavo:
tail -f /var/log/firewall/iptables.log
Iptables v tem primeru beležijo vse, dan, čas, ip, mac itd., Zaradi česar je odličen za spremljanje naših strežnikov. Majhna pomoč, ki nikoli ne boli.
Zdaj, ko upoštevamo, da uporabljamo drugo distro, kot sem že rekel na začetku, se na splošno uporablja rsyslog, ali kaj podobnega. Če vaš distro uporablja syslog, če želimo izvesti isto vajo, jo moramo nekoliko urediti / spremeniti syslog.conf
nano /etc/syslog.conf
Dodajte in shranite naslednjo vrstico:
kern.warning /var/log/firewall/iptables.log
In potem, veste, srečen konec:
/etc/init.d/sysklogd ponovni zagon
Rezultat: enako.
Za zdaj je to vse, v prihodnjih objavah se bomo še naprej igrali z iptables.
reference:
Prisili iptables, da se prijavijo v drugo datoteko
Prijavite iptables v ločeno datoteko z rsyslog
Vadnica za konfiguracijo Iptables v sistemih Fedora / RHEL
Odličen ta "mini-priročnik" za BOFH, ki ga počnete po malem
Hvala, malo po malo bom dal podrobnosti in podatke o iptables, ki sem jih moral vedeti iz svojega dela, ki jih včasih potrebujemo in so na internetu zelo slabo razloženi, vse uporabnik ... xD
Ob tej priložnosti vas pozdravljam, član 😀
Resnično lahko veliko prispevate, res dobro poznate omrežja, sisteme, požarne zidove itd., Zato bom (že sem) eden izmed mnogih bralcev, ki jih boste imeli hahaha.
Lep pozdrav in no ... saj veste, karkoli je treba 😀
Veselim se teh predmetov ^^
Daj no Koratsuki, nisem vedel, da si obiskal ta blog.
Mimogrede, druga različica beleženja dejavnosti požarnega zidu uporablja paket ulogd, ki so ga ustvarili ljudje projekta netfilter, da bi olajšali ločevanje tovrstnih sledi (omogoča njihovo shranjevanje na različne načine). To je pristop, ki ga običajno uporabljam. Uporaba je enostavna, na primer:
iptables -A INPUT -p udp -m multiport ! --ports 53,67:68 -m state --state NEW -j ULOG --ulog-prefix "Solicitud UDP dudosa"
Na delovno mesto bom moral dati F5, Ulogd način dela mi ustreza, tudi MySQL beleži tip: D.
Dobra objava, tako nadaljujte.
Pozdravljeni šef, kako gre?
Bi mi lahko pomagali?
Ker vadnice ne dobim in je bolj jasna kot voda, ne vem, kje se motim