ИптаблесПо дефаулту има правило филтера у режиму „Прихвати све“, односно омогућава и искључује све везе са или на наш рачунар, али шта ако желимо да евидентирамо све информације о везама успостављеним на нашим серверима или рачунарима?
Напомена: Процедура коју ћу сада извршити важи 100% у дистрибуцијама Дебиан/Заснован на Дебиану, па ако користите Слацкваре, федора, Убунту, ОпенСуСе, поступак можда није исти, препоручујемо вам да прочитате и разумете систем пријаве ваше дистрибуције пре примене онога што је објашњено у наставку. Такође постоји могућност инсталирања рсислог у вашу дистрибуцију, ако је доступан у спремиштима, иако је у овом упутству сислог такође објашњен на крају.
За сада све добро, али штаГде ћемо се пријавити? Лако, у датотеци «/вар/лог/фиревалл/иптаблес.лог", Шта не постоји, док сами не поверујемо ...
1- Морамо створити датотеку «иптаблес.лог»Унутар фасцикле«/ вар / лог / фиревалл»Да га морамо створити, јер ни он не постоји.
мкдир -п / вар / лог / фиревалл /
додирните /вар/лог/фиревалл/иптаблес.лог
2- Дозволе, врло важно ...
цхмод 600 /вар/лог/фиревалл/иптаблес.лог
роот цховн: адм /вар/лог/фиревалл/иптаблес.лог
3- Рсислог, Дебиан даемон за пријаву, чита конфигурацију из «/етц/рсислог.д«, Па морамо створити датотеку коју ћу назвати«фиревалл.цонф»Из којег рсислог може да протумачи шта желимо да радимо.
додирните /етц/рсислог.д/фиревалл.цонф
А унутра га остављамо цаер нежно следећи садржај:
: мсг, садржи, "иптаблес:" - / вар / лог / фиревалл / иптаблес.лог
& ~
Немам ни најмање идеје,шта ради ових пар редова?
Прва линија проверава евидентиране податке за низ «иптаблес: »И додаје у датотеку«/вар/лог/фиревалл/иптаблес.лог«
Други, зауставља обраду података пријављених са претходним обрасцем, тако да се не настављају слати на «/ вар / лог / мессагес".
4- Ротирање датотеке дневника, са постићи.
Морамо стварати у року од «/етц/логротате.д/" фајл "фиревалл»Који ће садржати следећи садржај:
/вар/лог/фиревалл/иптаблес.лог
{
ротирати 7
дневно
величина 10М
датеект
миссингок
створити 600 роот адм
нотифемпти
сабити
делаицомпресс
постротате
инвоке-рц.д рсислог поновно учитавање> / дев / нулл
ЕНДСцрипт
}
Да бисте евиденције ротирали 7 пута пре него што их избришете, 1 пут дневно, максималне величине дневника 10МБ, компримовано, датирано, без давања грешке ако дневник не постоји, креиран као роот.
5- Поново покрените, као и сви срећни завршеци кД, демон рсислог:
/етц/инит.д/рсислог рестарт
Како доказати да све то функционише?
Покушајмо са ССХ.
Инсталирати ОпенССХ (у случају да га немају инсталираног ...):
апт-гет инсталл опенссх-сервер
Пре него што наставимо, морамо покренути као роот у конзоли:
iptables -A INPUT -p tcp --dport 22 --syn -j LOG --log-prefix "iptables: " --log-level 4
Извршавање ове иптаблес изјаве евидентираће довољно података да покаже да оно што смо урадили није узалуд. У овој реченици кажемо иптаблес-у да евидентира све информације које до њих долазе преко порта 22. Да бисте тестирали са другим услугама, само промените број порта, попут 3306 за МиСКЛ, само да наведемо пример, ако желите више информација, прочитајте овај врло добро документован водич а на основу типичних примера најчешће коришћених конфигурација.
ССХ подразумевано користи порт 22, па ћемо тестирати са њим. Инсталирајући опенссх, повезујемо се са њим.
ссх пепе @ тест-сервер
Да бисте видели трупце, решите овај проблем репом:
таил -ф /вар/лог/фиревалл/иптаблес.лог
Иптаблес, у овом примеру, евидентирају све, дан, време, ип, мац итд., Што га чини одличним за надгледање наших сервера. Мала помоћ која никад не боли.
Узимајући у обзир да користимо још један дистро, као што сам рекао на почетку, он се углавном користи рсислог, или нешто слично. Ако ваш дистро користи сислог, да бисмо извели исту вежбу морамо мало да је уредимо / изменимо сислог.цонф
нано /етц/сислог.цонф
Додајте и сачувајте следећи ред:
керн.варнинг /вар/лог/фиревалл/иптаблес.лог
А онда, знате, срећан крај:
/етц/инит.д/сисклогд рестарт
Резултат: исти.
То је за сада све, у будућим постовима ћемо се и даље играти са иптаблеима.
Референце:
Присилите иптаблес да се пријаве у другу датотеку
Пријавите иптаблес у засебну датотеку помоћу рсислог
Водич за конфигурацију Иптаблес-а на Федора / РХЕЛ системима
Супер овај «мини-приручник» за БОФХ који радите мало по мало
Хвала, мало по мало даћу детаље и податке о прилагодљивим компонентама, које сам морао знати из свог рада, који су нам понекад потребни и на интернету су врло лоше објашњени, а све од корисника ... кД
Користим прилику да вам пожелим добродошлицу члану 😀
Заиста имате МНОГО да допринесете, имате заиста напредно знање о мрежама, системима, заштитним зидовима итд., Па ћу бити (већ сам) један од многих читалаца које ћете имати хахаха.
Поздрав и па ... знате, шта год треба 😀
Радујем се тим ставкама ^^
Хајде Коратсуки, нисам знао да си посећивао овај блог.
Иначе, друга варијанта евидентирања активности заштитног зида користи пакет улогд, који су направили људи пројекта нетфилтер како би се олакшало одвајање ове врсте трагова (омогућава њихово спашавање на различите начине). То је приступ који обично користим. Коришћење је једноставно, на пример:
iptables -A INPUT -p udp -m multiport ! --ports 53,67:68 -m state --state NEW -j ULOG --ulog-prefix "Solicitud UDP dudosa"Морам да дам посту Ф5, одговара ми Улогд начин рада, чак и МиСКЛ евидентира тип: Д.
Добар пост, настави тако.
Здраво шефе, како иде?
Можете ли да ми помогнете?
Будући да не добијам упутство, а оно је бистрије од воде, не знам где грешим