Ni prvič, da govorimo o tem iptables, smo že omenili, kako določiti pravila iptables se samodejno izvajajo, ko zaženete računalnik, razložimo tudi, kaj osnovno / srednje nad iptablesin več drugih stvari 🙂
Težava ali motnja, ki jo tisti, ki imamo radi iptables, vedno najdemo, je ta, da so dnevniki iptables (torej podatki o zavrnjenih paketih) prikazani v datotekah dmesg, kern.log ali syslog v / var / log /, ali Z drugimi besedami, v teh datotekah niso prikazane samo informacije o iptables, temveč tudi veliko drugih informacij, zaradi česar je nekoliko dolgočasno videti samo informacije, povezane z iptables.
Pred časom smo vam pokazali, kako prenesite dnevnike iz iptables v drugo datotekovendar ... Moram priznati, da se mi osebno zdi ta postopek nekoliko zapleten ^ - ^
Nato Kako spraviti dnevnike iptables v ločeno datoteko in jih ohraniti čim preprostejše?
Rešitev je: ulogd
ulogd gre za paket, ki smo ga namestili (en Debian ali izpeljanke - »sudo apt-get install ulogd) in nam bo služil ravno za to, kar sem vam pravkar povedal.
Če ga želite namestiti, poiščite paket ulogd in jih namestijo, nato jim bo dodan demon (/etc/init.d/ulogd) ob zagonu sistema, če uporabljate kateri koli distribucijski sistem KISS ArchLinux naj doda ulogd v odsek demonov, ki se začnejo s sistemom v /etc/rc.conf
Ko ga namestijo, morajo v skript pravil iptables dodati naslednjo vrstico:
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
Nato znova zaženite skript pravil iptables in voila, vse bo delovalo 😉
Poiščite dnevnike v datoteki: /var/log/ulog/syslogemu.log
V tej datoteki, ki jo omenjam, je, kjer privzeto ulogd poišče zavrnjene dnevnike paketov, če pa želite, da je ta v drugi datoteki in ne v tej, lahko spremenite vrstico # 53 v /etc/ulogd.conf, samo spremenijo pot datoteke, ki prikazuje to vrstico, in nato znova zaženejo demon:
sudo /etc/init.d/ulogd restart
Če natančno pogledate to datoteko, boste videli, da obstajajo možnosti celo shranjevanja dnevnikov v zbirko podatkov MySQL, SQLite ali Postgre, v resnici so primeri konfiguracijskih datotek v / usr / share / doc / ulogd /
V redu, dnevnike iptables že imamo v drugi datoteki, kako jih zdaj prikazati?
Za to preprosto mačka bi zadostovalo:
cat /var/log/ulog/syslogemu.log
Ne pozabite, da bodo zabeleženi samo zavrnjeni paketi. Če imate spletni strežnik (vrata 80) in imate nastavljene iptables, da lahko vsi dostopajo do te spletne storitve, dnevniki, povezani s tem, ne bodo shranjeni v dnevnikih, vendar če imajo SSH storitev in prek iptables so konfigurirali dostop do vrat 22, tako da omogoča le določen IP, v primeru, da kateri koli IP, razen izbranega, poskuša dostopati do 22, bo ta shranjen v dnevniku.
Tu vam pokažem primer vrstice iz mojega dnevnika:
4. marec 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 WINDOW = 0 SYN URGP = XNUMX
Kot lahko vidite, datum in čas poskusa dostopa, vmesnik (v mojem primeru Wi-Fi), naslov MAC, izvorni IP dostopa in ciljni IP (moj) ter različni drugi podatki, med katerimi je protokol Najdena sta (TCP) in ciljna vrata (22). Če povzamem, ob 10:29 4. marca je IP 10.10.0.1 poskušal dostopati do vrat 22 (SSH) mojega prenosnika, ko je (to je moj prenosnik) imel IP 10.10.0.51, vse to prek Wi-Fi (wlan0)
Kot vidite ... res koristne informacije 😉
Kakorkoli že, mislim, da ni veliko več za povedati. Nisem daleč strokovnjak za iptables ali ulogd, vendar če ima kdo težave s tem, mi to sporočite in poskusil jim bom pomagati
Lep pozdrav 😀
https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
Spomnim se, da sem jim s tem člankom začel slediti .. hehe ..
Hvala, čast, da mi delaš 😀
ulogd je to samo za iptables ali je splošno? omogoča nastavitev kanalov? beleženje po omrežju?
Verjemite, da je to samo za iptables, vendar mu dajte 'man ulogd', da se znebite dvomov.
Prav ste: "ulogd - Dnevnik beleženja uporabniškega prostora Netfilter"
+1, izvrstno artikulirano!
Hvala, če prihajate od vas, ki niste tisti, ki najbolj laskate, veliko pomeni 🙂
To ne pomeni, da vem več kot kdorkoli, ampak da sem zlovoljen xD
Še enkrat hvala za objavo, sklicujoč se na drugi članek o krizi v španski blogosferi linux, ta vaša objava - če govorimo o tehničnih objavah - je pač vrsta objave, ki je potrebna v španskem / kastilskem jeziku.
Kakovostne tehnične objave, kot je ta, sysadminov, so vedno dobrodošle in gredo naravnost med priljubljene 8)
Da, resnica je, da so potrebni tehnični izdelki ... Nikoli se ne naveličam povedati, pravzaprav sem o tem že govoril tukaj - https://blog.desdelinux.net/que-aporta-realmente-desdelinux-a-la-comunidad-global/
Kakorkoli, še enkrat hvala ... Poskusil bom ostati tak s tehničnimi objavami 😀
pozdrav