Visar iptables-loggar i separat fil med ulogd

Det är inte första gången vi pratar om iptables, vi har tidigare nämnt hur man gör regler för iptables implementeras automatiskt när du startar datorn, vi förklarar också vad grundläggande / medium över iptables, och flera andra saker 🙂

Problemet eller irritationen som de av oss som tycker om iptables alltid hittar är att iptables-loggarna (det vill säga informationen om de avvisade paketen) visas i dmesg-, kern.log- eller syslog-filer från / var / log /, eller Med andra ord visas inte bara iptables-informationen i dessa filer utan också mycket annan information, vilket gör det lite tråkigt att bara se informationen relaterad till iptables.

För ett tag sedan visade vi dig hur få loggarna från iptables till en annan filMen jag måste erkänna att personligen tycker jag att den här processen är lite komplex ^ - ^

Därefter, Hur får jag iptables-loggarna till en separat fil och håller den så enkel som möjligt?

Lösningen är: ulogd

ulogd det är ett paket som vi installerade (en Debian eller derivat - »sudo apt-get install ulogd) och det kommer att tjäna oss just för detta som jag just sa till dig.

För att installera det vet du, leta efter paketet ulogd i sina repor och installera det, kommer en daemon att läggas till dem (/etc/init.d/ulogd) vid systemstart, om du använder någon KISS distro-liknande archlinux bör lägga till ulogd till avsnittet av demoner som börjar med systemet i /etc/rc.conf

När de har installerat måste de lägga till följande rad i iptables-reglerna:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Kör sedan ditt iptables-reglerskript igen och voila, allt fungerar 😉

Leta efter loggarna i filen: /var/log/ulog/syslogemu.log

I den här filen som jag nämner är där ulogd som standard lokaliserar de avvisade paketloggarna, men om du vill att den ska finnas i en annan fil och inte i den här kan du ändra rad # 53 i /etc/ulogd.conf, de ändrar bara sökvägen till filen som visar den raden och startar sedan om demonen:

sudo /etc/init.d/ulogd restart

Om du tittar noga på den filen ser du att det finns alternativ för att till och med spara loggarna i en MySQL-, SQLite- eller Postgre-databas. Faktum är att konfigurationsfilerna i exemplet finns i / usr / share / doc / ulogd /

Okej, vi har redan iptables-loggarna i en annan fil, hur ska jag nu visa dem?

För detta är det enkelt hur skulle räcka:

cat /var/log/ulog/syslogemu.log

Kom ihåg att endast avvisade paket loggas, om du har en webbserver (port 80) och har iptables konfigurerade så att alla kan komma åt denna webbtjänst sparas inte loggarna relaterade till detta i loggarna utan Men om de har en SSH-tjänst och via iptables konfigurerade de åtkomst till port 22 så att den bara tillåter en specifik IP, om någon annan IP än den valda försöker komma åt 22 kommer detta att sparas i loggen.

Jag visar här en exempelrad från min logg:

4 mar 22:29:02 exia IN = wlan0 UT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEKV = 0 ACK = 14600 FÖNSTER = 0 SYN URGP = XNUMX

Som du kan se, datum och tid för åtkomstförsöket, gränssnitt (Wi-Fi i mitt fall), MAC-adress, källans IP för åtkomst samt destinations-IP (min) och olika andra data bland vilka protokollet (TCP) och destinationsporten (22) hittas. Sammanfattningsvis försökte IP 10 kl 29:4 att komma åt port 10.10.0.1 (SSH) på min bärbara dator när den (det vill säga min bärbara dator) hade IP 22, allt detta via Wifi (wlan10.10.0.51)

Som du kan se ... riktigt användbar information 😉

Hur som helst, jag tror inte att det finns mycket mer att säga. Jag är inte överlägset expert på iptables eller ulogd, men om någon har problem med detta så låt mig veta och jag kommer att försöka hjälpa dem

Hälsningar 😀