Prikaz dnevnikov iptables v ločeni datoteki z ulogd

Ni prvič, da govorimo o tem iptables, smo že omenili, kako določiti pravila iptables se samodejno izvajajo, ko zaženete računalnik, razložimo tudi, kaj osnovno / srednje nad iptablesin več drugih stvari 🙂

Težava ali motnja, ki jo tisti, ki imamo radi iptables, vedno najdemo, je ta, da so dnevniki iptables (torej podatki o zavrnjenih paketih) prikazani v datotekah dmesg, kern.log ali syslog v / var / log /, ali Z drugimi besedami, v teh datotekah niso prikazane samo informacije o iptables, temveč tudi veliko drugih informacij, zaradi česar je nekoliko dolgočasno videti samo informacije, povezane z iptables.

Pred časom smo vam pokazali, kako prenesite dnevnike iz iptables v drugo datotekovendar ... Moram priznati, da se mi osebno zdi ta postopek nekoliko zapleten ^ - ^

Nato Kako spraviti dnevnike iptables v ločeno datoteko in jih ohraniti čim preprostejše?

Rešitev je: ulogd

ulogd gre za paket, ki smo ga namestili (en Debian ali izpeljanke - »sudo apt-get install ulogd) in nam bo služil ravno za to, kar sem vam pravkar povedal.

Če ga želite namestiti, poiščite paket ulogd in jih namestijo, nato jim bo dodan demon (/etc/init.d/ulogd) ob zagonu sistema, če uporabljate kateri koli distribucijski sistem KISS ArchLinux naj doda ulogd v odsek demonov, ki se začnejo s sistemom v /etc/rc.conf

Ko ga namestijo, morajo v skript pravil iptables dodati naslednjo vrstico:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Nato znova zaženite skript pravil iptables in voila, vse bo delovalo 😉

Poiščite dnevnike v datoteki: /var/log/ulog/syslogemu.log

V tej datoteki, ki jo omenjam, je, kjer privzeto ulogd poišče zavrnjene dnevnike paketov, če pa želite, da je ta v drugi datoteki in ne v tej, lahko spremenite vrstico # 53 v /etc/ulogd.conf, samo spremenijo pot datoteke, ki prikazuje to vrstico, in nato znova zaženejo demon:

sudo /etc/init.d/ulogd restart

Če natančno pogledate to datoteko, boste videli, da obstajajo možnosti celo shranjevanja dnevnikov v zbirko podatkov MySQL, SQLite ali Postgre, v resnici so primeri konfiguracijskih datotek v / usr / share / doc / ulogd /

V redu, dnevnike iptables že imamo v drugi datoteki, kako jih zdaj prikazati?

Za to preprosto mačka bi zadostovalo:

cat /var/log/ulog/syslogemu.log

Ne pozabite, da bodo zabeleženi samo zavrnjeni paketi. Če imate spletni strežnik (vrata 80) in imate nastavljene iptables, da lahko vsi dostopajo do te spletne storitve, dnevniki, povezani s tem, ne bodo shranjeni v dnevnikih, vendar če imajo SSH storitev in prek iptables so konfigurirali dostop do vrat 22, tako da omogoča le določen IP, v primeru, da kateri koli IP, razen izbranega, poskuša dostopati do 22, bo ta shranjen v dnevniku.

Tu vam pokažem primer vrstice iz mojega dnevnika:

4. marec 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 WINDOW = 0 SYN URGP = XNUMX

Kot lahko vidite, datum in čas poskusa dostopa, vmesnik (v mojem primeru Wi-Fi), naslov MAC, izvorni IP dostopa in ciljni IP (moj) ter različni drugi podatki, med katerimi je protokol Najdena sta (TCP) in ciljna vrata (22). Če povzamem, ob 10:29 4. marca je IP 10.10.0.1 poskušal dostopati do vrat 22 (SSH) mojega prenosnika, ko je (to je moj prenosnik) imel IP 10.10.0.51, vse to prek Wi-Fi (wlan0)

Kot vidite ... res koristne informacije 😉

Kakorkoli že, mislim, da ni veliko več za povedati. Nisem daleč strokovnjak za iptables ali ulogd, vendar če ima kdo težave s tem, mi to sporočite in poskusil jim bom pomagati

Lep pozdrav 😀