การแสดงบันทึก iptables ในไฟล์แยกต่างหากด้วย ulogd

ไม่ใช่ครั้งแรกที่เราพูดถึง iptablesเราได้กล่าวไปแล้วก่อนที่จะสร้างกฎของ iptables จะถูกนำไปใช้โดยอัตโนมัติเมื่อคุณเริ่มคอมพิวเตอร์เรายังอธิบายว่าอะไร พื้นฐาน / ปานกลางผ่าน iptablesและอื่น ๆ อีกมากมาย🙂

ปัญหาหรือความรำคาญที่พวกเราที่ชอบเกี่ยวกับ iptables มักจะพบคือบันทึก iptables (นั่นคือข้อมูลของแพ็กเก็ตที่ถูกปฏิเสธ) จะแสดงในไฟล์ dmesg, kern.log หรือ syslog ของ / var / log / หรือ ในไฟล์เหล่านี้ไม่เพียง แต่แสดงข้อมูล iptables เท่านั้น แต่ยังมีข้อมูลอื่น ๆ อีกมากมายทำให้ดูเฉพาะข้อมูลที่เกี่ยวข้องกับ iptables เท่านั้น

เมื่อไม่นานมานี้เราได้แสดงให้คุณเห็นว่า รับบันทึกจาก iptables ไปยังไฟล์อื่นอย่างไรก็ตาม ... ต้องยอมรับว่าโดยส่วนตัวแล้วฉันพบว่ากระบวนการนี้ค่อนข้างซับซ้อน ^ - ^

จากนั้น วิธีรับ iptables บันทึกไปยังไฟล์แยกต่างหากและทำให้ง่ายที่สุด

วิธีแก้ปัญหาคือ: ยูล็อก

ยูล็อก เป็นแพ็คเกจที่เราติดตั้ง (en debian หรืออนุพันธ์ - » sudo apt-get install ulogd) และจะให้บริการเราอย่างแม่นยำสำหรับสิ่งที่ฉันเพิ่งบอกคุณ

หากต้องการติดตั้งให้มองหาแพ็คเกจ ยูล็อก ใน repos และติดตั้งจากนั้น daemon จะถูกเพิ่มเข้ามา (/etc/init.d/ulogd) เมื่อเริ่มต้นระบบหากคุณใช้ KISS distro เช่น อาร์คลินุกซ์ ต้องเพิ่ม ยูล็อก ไปยังส่วนของ daemons ที่ขึ้นต้นด้วยระบบใน /etc/rc.conf

เมื่อติดตั้งแล้วจะต้องเพิ่มบรรทัดต่อไปนี้ในสคริปต์กฎ iptables:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

จากนั้นเรียกใช้สคริปต์กฎ iptables ของคุณอีกครั้งและ voila ทุกอย่างจะทำงาน😉

ค้นหาบันทึกในไฟล์: /var/log/ulog/syslogemu.log

ในไฟล์นี้ที่ฉันพูดถึงคือที่โดยค่าเริ่มต้น ulogd จะค้นหาบันทึกแพ็คเก็ตที่ถูกปฏิเสธอย่างไรก็ตามหากคุณต้องการให้อยู่ในไฟล์อื่นและไม่อยู่ในนี้คุณสามารถแก้ไขบรรทัด # 53 ใน /etc/ulogd.confพวกเขาเพียงแค่เปลี่ยนเส้นทางของไฟล์ที่แสดงบรรทัดนั้นจากนั้นรีสตาร์ท daemon:

sudo /etc/init.d/ulogd restart

หากคุณดูไฟล์นั้นอย่างใกล้ชิดคุณจะเห็นว่ามีตัวเลือกในการบันทึกบันทึกในฐานข้อมูล MySQL, SQLite หรือ Postgre ในความเป็นจริงไฟล์กำหนดค่าตัวอย่างอยู่ใน / usr / share / doc / ulogd /

ตกลงเรามีบันทึก iptables ในไฟล์อื่นอยู่แล้วตอนนี้จะแสดงอย่างไร

สำหรับเรื่องนี้ง่าย แมว จะพอเพียง:

cat /var/log/ulog/syslogemu.log

โปรดจำไว้ว่าระบบจะบันทึกเฉพาะแพ็กเก็ตที่ถูกปฏิเสธหากคุณมีเว็บเซิร์ฟเวอร์ (พอร์ต 80) และมีการกำหนดค่า iptables เพื่อให้ทุกคนสามารถเข้าถึงบริการเว็บนี้ได้บันทึกที่เกี่ยวข้องจะไม่ถูกบันทึกไว้ในบันทึกหากไม่มี อย่างไรก็ตามหากพวกเขามีบริการ SSH และผ่าน iptables พวกเขาได้กำหนดค่าการเข้าถึงไปยังพอร์ต 22 เพื่อให้อนุญาตเฉพาะ IP ที่เฉพาะเจาะจงในกรณีที่ IP อื่นนอกเหนือจากที่เลือกพยายามเข้าถึง 22 สิ่งนี้จะถูกบันทึกไว้ในบันทึก

ฉันแสดงให้คุณเห็นที่นี่บรรทัดตัวอย่างจากบันทึกของฉัน:

4 มี.ค. 22:29:02 น. exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 WINDOW = 0 SYN URGP = XNUMX

อย่างที่คุณเห็นวันที่และเวลาของการพยายามเข้าถึงอินเทอร์เฟซ (Wi-Fi ในกรณีของฉัน) ที่อยู่ MAC IP ต้นทางของการเข้าถึงตลอดจน IP ปลายทาง (ของฉัน) และข้อมูลอื่น ๆ อีกมากมาย มีโปรโตคอล (TCP) และพอร์ตปลายทาง (22) สรุปเมื่อเวลา 10:29 วันที่ 4 มีนาคม IP 10.10.0.1 พยายามเข้าถึงพอร์ต 22 (SSH) ของแล็ปท็อปของฉันเมื่อ (นั่นคือแล็ปท็อปของฉัน) มี IP 10.10.0.51 ทั้งหมดนี้ผ่าน Wifi (wlan0)

อย่างที่คุณเห็น ... ข้อมูลที่มีประโยชน์จริงๆ😉

อย่างไรก็ตามฉันไม่คิดว่าจะมีอะไรจะพูดมากกว่านี้ ฉันไม่ได้เป็นผู้เชี่ยวชาญด้าน iptables หรือ ulogd แต่ถ้าใครมีปัญหาเกี่ยวกับเรื่องนี้โปรดแจ้งให้เราทราบและฉันจะพยายามช่วยพวกเขา

ทักทาย😀