Det är inte första gången vi pratar om iptables, vi har tidigare nämnt hur man gör regler för iptables implementeras automatiskt när du startar datorn, vi förklarar också vad grundläggande / medium över iptables, och flera andra saker 🙂
Problemet eller irritationen som de av oss som tycker om iptables alltid hittar är att iptables-loggarna (det vill säga informationen om de avvisade paketen) visas i dmesg-, kern.log- eller syslog-filer från / var / log /, eller Med andra ord visas inte bara iptables-informationen i dessa filer utan också mycket annan information, vilket gör det lite tråkigt att bara se informationen relaterad till iptables.
För ett tag sedan visade vi dig hur få loggarna från iptables till en annan filMen jag måste erkänna att personligen tycker jag att den här processen är lite komplex ^ - ^
Därefter, Hur får jag iptables-loggarna till en separat fil och håller den så enkel som möjligt?
Lösningen är: ulogd
ulogd det är ett paket som vi installerade (en Debian eller derivat - »sudo apt-get install ulogd) och det kommer att tjäna oss just för detta som jag just sa till dig.
För att installera det vet du, leta efter paketet ulogd i sina repor och installera det, kommer en daemon att läggas till dem (/etc/init.d/ulogd) vid systemstart, om du använder någon KISS distro-liknande archlinux bör lägga till ulogd till avsnittet av demoner som börjar med systemet i /etc/rc.conf
När de har installerat måste de lägga till följande rad i iptables-reglerna:
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
Kör sedan ditt iptables-reglerskript igen och voila, allt fungerar 😉
Leta efter loggarna i filen: /var/log/ulog/syslogemu.log
I den här filen som jag nämner är där ulogd som standard lokaliserar de avvisade paketloggarna, men om du vill att den ska finnas i en annan fil och inte i den här kan du ändra rad # 53 i /etc/ulogd.conf, de ändrar bara sökvägen till filen som visar den raden och startar sedan om demonen:
sudo /etc/init.d/ulogd restart
Om du tittar noga på den filen ser du att det finns alternativ för att till och med spara loggarna i en MySQL-, SQLite- eller Postgre-databas. Faktum är att konfigurationsfilerna i exemplet finns i / usr / share / doc / ulogd /
Okej, vi har redan iptables-loggarna i en annan fil, hur ska jag nu visa dem?
För detta är det enkelt hur skulle räcka:
cat /var/log/ulog/syslogemu.log
Kom ihåg att endast avvisade paket loggas, om du har en webbserver (port 80) och har iptables konfigurerade så att alla kan komma åt denna webbtjänst sparas inte loggarna relaterade till detta i loggarna utan Men om de har en SSH-tjänst och via iptables konfigurerade de åtkomst till port 22 så att den bara tillåter en specifik IP, om någon annan IP än den valda försöker komma åt 22 kommer detta att sparas i loggen.
Jag visar här en exempelrad från min logg:
4 mar 22:29:02 exia IN = wlan0 UT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEKV = 0 ACK = 14600 FÖNSTER = 0 SYN URGP = XNUMX
Som du kan se, datum och tid för åtkomstförsöket, gränssnitt (Wi-Fi i mitt fall), MAC-adress, källans IP för åtkomst samt destinations-IP (min) och olika andra data bland vilka protokollet (TCP) och destinationsporten (22) hittas. Sammanfattningsvis försökte IP 10 kl 29:4 att komma åt port 10.10.0.1 (SSH) på min bärbara dator när den (det vill säga min bärbara dator) hade IP 22, allt detta via Wifi (wlan10.10.0.51)
Som du kan se ... riktigt användbar information 😉
Hur som helst, jag tror inte att det finns mycket mer att säga. Jag är inte överlägset expert på iptables eller ulogd, men om någon har problem med detta så låt mig veta och jag kommer att försöka hjälpa dem
Hälsningar 😀
https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
Jag minns att med den artikeln började jag följa dem .. hehe ..
Tack, ära att du gör mig 😀
ulogd är det bara för iptables eller är det allmänt? gör det möjligt att ställa in kanaler? loggning efter nätverk?
Tro att det bara är för iptables, men ge det en "man ulogd" för att bli av med tvivel.
Du har rätt: "ulogd - The Netfilter Userspace Logging Daemon"
+1, bra artikulera!
Tack, kommer från dig som inte är en av dem som gör mest smicker betyder mycket 🙂
Det betyder inte att jag vet mer än någon annan utan att jag är grinig xD
Tack igen för inlägget, med hänvisning till den andra artikeln om krisen i den latinamerikanska linuxblogosfären, det här inlägget ditt - talar om tekniskt inlägg - är precis den typ av inlägg som behövs på spanska / kastilianska språket.
Kvalitetstekniska inlägg som den här från sysadmins är alltid välkomna och går direkt till favoriter 8)
Ja, sanningen är att tekniska artiklar är vad som behövs ... Jag tröttnar aldrig på att säga det, jag pratade faktiskt redan om det här - » https://blog.desdelinux.net/que-aporta-realmente-desdelinux-a-la-comunidad-global/
Hur som helst, tack igen ... Jag ska försöka hålla det så med tekniska inlägg 😀
hälsningar