Hindi ito ang unang pagkakataon na pinag-uusapan natin iptables, nabanggit na natin dati kung paano gumawa ng mga patakaran ng Ang mga iptable ay awtomatikong ipinatupad kapag sinimulan mo ang computer, ipinapaliwanag din namin kung ano pangunahing / daluyan sa paglipas ng iptables, at maraming iba pang mga bagay 🙂
Ang problema o inis na palaging nahanap ng mga nasa atin na gusto tungkol sa iptables ay iyon, ang mga iptable log (iyon ay, ang impormasyon ng mga tinanggihan na packet) ay ipinapakita sa dmesg, kern.log o syslog file ng / var / log /, o Sa madaling salita, hindi lamang ang impormasyong iptables ang ipinapakita sa mga file na ito, kundi pati na rin ng maraming iba pang impormasyon, na ginagawang medyo nakakapagod na makita lamang ang impormasyong nauugnay sa iptables.
Kanina lang ipinakita namin sa iyo kung paano kunin ang mga log mula sa iptables patungo sa isa pang fileGayunpaman ... dapat kong aminin na personal kong nahanap ang prosesong ito na medyo kumplikado ^ - ^
Pagkatapos, Paano makukuha ang mga iptable log sa isang hiwalay na file at panatilihin itong kasing simple hangga't maaari?
Ang solusyon ay: ulogd
ulogd ito ay isang pakete na na-install namin (en Debian o mga derivatives - »sudo apt-get install ulogd) at maglilingkod sa amin para sa tiyak na ito na sinabi ko lang sa iyo.
Upang mai-install ito alam mo, hanapin ang package ulogd sa kanilang mga repos at mai-install ito, pagkatapos ay isang daemon ay idaragdag sa kanila (/etc/init.d/ulogg) sa startup ng system, kung gumagamit ka ng anumang KISS distro na gusto Archlinux dapat idagdag ulogd sa seksyon ng mga daemon na nagsisimula sa system sa /etc/rc.conf
Kapag na-install na nila ito, dapat nilang idagdag ang sumusunod na linya sa kanilang iptables rules script:
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
Pagkatapos ay patakbuhin muli ang iyong iptables rules script at voila, gagana ang lahat 😉
Hanapin ang mga log sa file: /var/log/ulog/syslogemu.log
Sa file na ito na binanggit ko ay kung saan sa pamamagitan ng default ulogd ay matatagpuan ang mga tinanggihan na packet log, subalit kung nais mong ito ay nasa ibang file at hindi dito maaari mong baguhin ang linya # 53 sa /etc/ulogd.conf, binabago lang nila ang landas ng file na nagpapakita ng linyang iyon at pagkatapos ay i-restart ang daemon:
sudo /etc/init.d/ulogd restart
Kung titingnan mo nang mabuti ang file na iyon makikita mo na may mga pagpipilian na kahit na i-save ang mga tala sa isang MySQL, SQLite o Postgre database, sa katunayan ang mga halimbawang mga file ng pagsasaayos ay nasa / usr / share / doc / ulogd /
Ok, mayroon na kaming mga iptable log sa isa pang file, ngayon paano ito ipakita?
Para sa isang simpleng pusa ay sapat na:
cat /var/log/ulog/syslogemu.log
Tandaan, ang mga tinanggihan na packet lamang ang mai-log, kung mayroon kang isang web server (port 80) at may mga naka-configure na iptable upang ma-access ng lahat ang serbisyong web na ito, ang mga log na nauugnay dito ay hindi mai-save sa mga log, nang walang Gayunpaman, kung magkaroon ng isang serbisyo ng SSH at sa pamamagitan ng mga iptable na-configure nila ang pag-access sa port 22 upang pinapayagan lamang nito ang isang tukoy na IP, sakaling may anumang IP bukod sa pinili na susubukan na ma-access ang 22 pagkatapos ay mai-save ito sa log.
Ipinapakita ko rito ang isang halimbawa ng linya mula sa aking log:
Mar 4 22: 29: 02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 WINDOW = 0 SYN URGP = XNUMX
Tulad ng nakikita mo, ang petsa at oras ng pagtatangka sa pag-access, interface (wifi sa aking kaso), MAC address, source IP ng pag-access pati na rin ang patutunguhang IP (minahan), at maraming iba pang data bukod sa kung saan ay ang protocol ( TCP) at ang patutunguhan port (22). Upang buod, sa 10:29 noong Marso 4, sinubukan ng IP 10.10.0.1 na i-access ang port 22 (SSH) ng aking laptop nang ito (iyon ay, ang aking laptop) ay mayroong IP 10.10.0.51, lahat ng ito sa pamamagitan ng Wifi (wlan0)
Tulad ng nakikita mo ... talagang kapaki-pakinabang na impormasyon 😉
Gayunpaman, sa palagay ko wala pang masasabi. Hindi ako malayo sa isang dalubhasa sa iptables o ulogd, subalit kung ang sinuman ay may problema sa ito ipaalam sa akin at susubukan kong tulungan sila
Pagbati
https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
Naaalala ko na sa artikulong iyon nagsimula akong sundin ang mga ito .. hehe ..
Salamat, karangalan na gawin mo ako 😀
ulogd para lang ba ito sa iptables o pangkalahatan? pinapayagan na magtakda ng mga channel? pag-log sa network?
Maniwala na para lamang ito sa mga iptable, gayunpaman, bigyan ito ng isang 'man ulogd' upang maalis ang mga pagdududa.
Tama ka: "ulogd - The Netfilter Userspace Logging Daemon"
+1, mahusay na magsalita!
Salamat, nagmumula sa iyo na hindi isa sa mga gumagawa ng pinaka-pambobola ay nangangahulugang maraming 🙂
Hindi nangangahulugan iyon na alam ko ang higit pa sa sinuman ngunit ako ay masungit na xD
Salamat muli para sa post, na tumutukoy sa iba pang artikulo tungkol sa krisis ng Hispanic linux blogosfer, ang post na ito sa iyo - pagsasalita ng teknikal na post- ay isang uri lamang ng post na kinakailangan sa wikang Espanyol / Castilian.
Ang mga kalidad na teknikal na post na tulad nito, mula sa sysadmins, ay palaging maligayang pagdating at dumidiretso sa mga paborito 8)
Oo, ang totoo ay ang mga teknikal na artikulo ang kinakailangan ... Hindi ako nagsawa na sabihin ito, sa katunayan napag-usapan ko na ito tungkol dito - » https://blog.desdelinux.net/que-aporta-realmente-desdelinux-a-la-comunidad-global/
Gayunpaman, salamat ulit ... Susubukan kong manatili sa ganoong paraan sa mga teknikal na post 😀
Regards