Приказивање иптаблес дневника у засебној датотеци са улогд

Није први пут да причамо о томе iptables, већ смо раније помињали како се праве правила иптаблес се аутоматски примењују када покренете рачунар, такође објашњавамо шта основно / средње над иптаблима, и неколико других ствари 🙂

Проблем или сметња коју ми који волимо иптаблес увек пронађемо је тај што су иптаблес евиденције (односно информације о одбијеним пакетима) приказане у дмесг, керн.лог или сислог датотекама / вар / лог /, или Другим речима, ове датотеке не само да приказују информације о иптаблес, већ и пуно других информација, чинећи помало досадним гледање само информација које се односе на иптаблес.

Малопре смо вам показали како пренесите дневнике из иптаблес у другу датотеку, међутим ... Морам признати да лично сматрам да је овај процес помало сложен ^ - ^

Затим, Како добити иптаблес евиденције у засебну датотеку и учинити је што једноставнијом?

Решење је: улогд

улогд то је пакет који смо инсталирали (en Дебиан или деривати - »судо апт-гет инсталл улогд) и послужиће нам управо за ово што сам вам управо рекао.

Да бисте га инсталирали, потражите пакет улогд у њихове репое и инсталирају га, тада ће им бити додан демон (/етц/инит.д/улогд) при покретању система, ако користите било који КИСС дистрибутер попут АрцхЛинук треба додати улогд на одељак демона који почињу са системом у /етц/рц.цонф

Једном када га инсталирају, морају додати следећи ред у своју скрипту правила иптаблес:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Затим поново покрените скрипту правила иптаблес и воила, све ће радити 😉

Потражите евиденције у датотеци: /вар/лог/улог/сислогему.лог

У овој датотеци коју помињем је место где подразумевано улогд лоцира одбачене евиденције пакета, међутим ако желите да то буде у другој датотеци, а не у овој, можете изменити ред # 53 у /етц/улогд.цонф, они само промене путању датотеке која показује ту линију, а затим поново покрену демон:

sudo /etc/init.d/ulogd restart

Ако пажљиво погледате ту датотеку, видећете да постоје могућности чак и спремања евиденција у МиСКЛ, СКЛите или Постгре базу података, у ствари примери конфигурационих датотека су у / уср / схаре / доц / улогд /

Ок, иптаблес евиденције већ имамо у другој датотеци, како их сада приказати?

За ово једноставно како било би довољно:

cat /var/log/ulog/syslogemu.log

Запамтите, евидентираће се само одбијени пакети, ако имате веб сервер (порт 80) и ако су иптаблес конфигурисани тако да сви могу приступити овој веб услузи, евиденције повезане с тим неће бити сачуване у евиденцијама, без обзира на то ако их имају ССХ услугу и путем иптаблес-а су конфигурисали приступ порту 22 тако да дозвољава само одређену ИП адресу, у случају да било која ИП адреса која није изабрана покуша да приступи 22, то ће бити сачувано у евиденцији.

Овде ћу вам показати пример линије из мог дневника:

4. марта 22:29:02 екиа ИН = влан0 ОУТ = МАЦ = 00: 19: д2: 78: еб: 47: 00: 1д: 60: 7б: б7: ф6: 08: 00 СРЦ = 10.10.0.1 ДСТ = 10.10.0.51 .60 ЛЕН = 00 ТОС = 0 ПРЕЦ = 00к64 ТТЛ = 12881 ИД = 37844 ДФ ПРОТО = ТЦП СПТ = 22 ДПТ = 895081023 СЕК = 0 АЦК = 14600 ПРОЗОР = 0 СИН УРГП = XNUMX

Као што видите, датум и време покушаја приступа, интерфејс (вифи у мом случају), МАЦ адреса, ИП извора приступа као и одредишна ИП (моја) и неколико других података међу којима је и протокол (ТЦП ) и одредишни порт (22) су пронађени. Укратко, у 10:29, 4. марта, ИП 10.10.0.1 је покушао да приступи порту 22 (ССХ) мог лаптопа када је (то јест, мој лаптоп) имао ИП 10.10.0.51, све то преко Ви-Фи (влан0)

Као што видите ... заиста корисне информације 😉

У сваком случају, мислим да нема пуно више за рећи. Ја нисам далеко стручњак за иптаблес или улогд, али ако неко има проблема са овим, нека ме обавести и покушаћу да му помогнем

Поздрав 😀