Visar iptables-loggar i separat fil med ulogd

Det är inte första gången vi pratar om iptables, vi har tidigare nämnt hur man gör regler för iptables implementeras automatiskt när du startar datorn, vi förklarar också vad grundläggande / medium över iptables, och flera andra saker 🙂

Problemet eller irritationen som de av oss som tycker om iptables alltid hittar är att iptables-loggarna (det vill säga informationen om de avvisade paketen) visas i dmesg-, kern.log- eller syslog-filer från / var / log /, eller Med andra ord visas inte bara iptables-informationen i dessa filer utan också mycket annan information, vilket gör det lite tråkigt att bara se informationen relaterad till iptables.

För ett tag sedan visade vi dig hur få loggarna från iptables till en annan filMen jag måste erkänna att personligen tycker jag att den här processen är lite komplex ^ - ^

Därefter, Hur får jag iptables-loggarna till en separat fil och håller den så enkel som möjligt?

Lösningen är: ulogd

ulogd det är ett paket som vi installerade (en Debian eller derivat - »sudo apt-get install ulogd) och det kommer att tjäna oss just för detta som jag just sa till dig.

För att installera det vet du, leta efter paketet ulogd i sina repor och installera det, kommer en daemon att läggas till dem (/etc/init.d/ulogd) vid systemstart, om du använder någon KISS distro-liknande archlinux bör lägga till ulogd till avsnittet av demoner som börjar med systemet i /etc/rc.conf

När de har installerat måste de lägga till följande rad i iptables-reglerna:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Kör sedan ditt iptables-reglerskript igen och voila, allt fungerar 😉

Leta efter loggarna i filen: /var/log/ulog/syslogemu.log

I den här filen som jag nämner är där ulogd som standard lokaliserar de avvisade paketloggarna, men om du vill att den ska finnas i en annan fil och inte i den här kan du ändra rad # 53 i /etc/ulogd.conf, de ändrar bara sökvägen till filen som visar den raden och startar sedan om demonen:

sudo /etc/init.d/ulogd restart

Om du tittar noga på den filen ser du att det finns alternativ för att till och med spara loggarna i en MySQL-, SQLite- eller Postgre-databas. Faktum är att konfigurationsfilerna i exemplet finns i / usr / share / doc / ulogd /

Okej, vi har redan iptables-loggarna i en annan fil, hur ska jag nu visa dem?

För detta är det enkelt hur skulle räcka:

cat /var/log/ulog/syslogemu.log

Kom ihåg att endast avvisade paket loggas, om du har en webbserver (port 80) och har iptables konfigurerade så att alla kan komma åt denna webbtjänst sparas inte loggarna relaterade till detta i loggarna utan Men om de har en SSH-tjänst och via iptables konfigurerade de åtkomst till port 22 så att den bara tillåter en specifik IP, om någon annan IP än den valda försöker komma åt 22 kommer detta att sparas i loggen.

Jag visar här en exempelrad från min logg:

4 mar 22:29:02 exia IN = wlan0 UT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEKV = 0 ACK = 14600 FÖNSTER = 0 SYN URGP = XNUMX

Som du kan se, datum och tid för åtkomstförsöket, gränssnitt (Wi-Fi i mitt fall), MAC-adress, källans IP för åtkomst samt destinations-IP (min) och olika andra data bland vilka protokollet (TCP) och destinationsporten (22) hittas. Sammanfattningsvis försökte IP 10 kl 29:4 att komma åt port 10.10.0.1 (SSH) på min bärbara dator när den (det vill säga min bärbara dator) hade IP 22, allt detta via Wifi (wlan10.10.0.51)

Som du kan se ... riktigt användbar information 😉

Hur som helst, jag tror inte att det finns mycket mer att säga. Jag är inte överlägset expert på iptables eller ulogd, men om någon har problem med detta så låt mig veta och jag kommer att försöka hjälpa dem

Hälsningar 😀


Innehållet i artikeln följer våra principer om redaktionell etik. Klicka på för att rapportera ett fel här.

9 kommentarer, lämna din

Lämna din kommentar

Din e-postadress kommer inte att publiceras.

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   renelopez91 sade

    https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
    Jag minns att med den artikeln började jag följa dem .. hehe ..

    1.    KZKG ^ Gaara sade

      Tack, ära att du gör mig 😀

  2.   djägare sade

    ulogd är det bara för iptables eller är det allmänt? gör det möjligt att ställa in kanaler? loggning efter nätverk?

    1.    KZKG ^ Gaara sade

      Tro att det bara är för iptables, men ge det en "man ulogd" för att bli av med tvivel.

      1.    djägare sade

        Du har rätt: "ulogd - The Netfilter Userspace Logging Daemon"

  3.   MSX sade

    +1, bra artikulera!

    1.    KZKG ^ Gaara sade

      Tack, kommer från dig som inte är en av dem som gör mest smicker betyder mycket 🙂

      1.    MSX sade

        Det betyder inte att jag vet mer än någon annan utan att jag är grinig xD
        Tack igen för inlägget, med hänvisning till den andra artikeln om krisen i den latinamerikanska linuxblogosfären, det här inlägget ditt - talar om tekniskt inlägg - är precis den typ av inlägg som behövs på spanska / kastilianska språket.
        Kvalitetstekniska inlägg som den här från sysadmins är alltid välkomna och går direkt till favoriter 8)

        1.    KZKG ^ Gaara sade

          Ja, sanningen är att tekniska artiklar är vad som behövs ... Jag tröttnar aldrig på att säga det, jag pratade faktiskt redan om det här - » https://blog.desdelinux.net/que-aporta-realmente-desdelinux-a-la-comunidad-global/

          Hur som helst, tack igen ... Jag ska försöka hålla det så med tekniska inlägg 😀

          hälsningar