Ulogd ile iptables günlüklerini ayrı bir dosyada gösterme

İlk konuşmamız değil iptables, daha önce nasıl kuralların yapılacağından bahsetmiştik iptables, bilgisayarı başlattığınızda otomatik olarak uygulanırne olduğunu da açıklıyoruz iptables üzerinden temel / ortave diğer birkaç şey 🙂

İptables'ı sevenlerimizin her zaman bulduğu sorun veya sıkıntı, iptables günlüklerinin (yani reddedilen paketlerin bilgilerinin) dmesg, kern.log veya / var / log / syslog dosyalarında gösterilmesidir. Diğer bir deyişle, bu dosyalarda sadece iptables bilgileri gösterilmiyor, aynı zamanda diğer birçok bilgi de gösteriliyor, bu da sadece iptables ile ilgili bilgileri görmeyi biraz sıkıcı hale getiriyor.

Bir süre önce sana nasıl olduğunu gösterdik günlükleri iptables'dan başka bir dosyaya alınancak ... Şahsen bu süreci biraz karmaşık bulduğumu itiraf etmeliyim ^ - ^

Daha sonra, İptables günlükleri ayrı bir dosyaya nasıl alınır ve mümkün olduğunca basit hale getirilir?

Çözüm şudur: Ulogd

Ulogd bu bizim kurduğumuz bir paket (en Debian veya türevleri - »sudo apt-get install ulogd) ve tam olarak size söylediklerim için bize hizmet edecek.

Yüklemek için bildiğiniz paketi arayın Ulogd depolarına koyup kurun, sonra onlara bir arka plan programı eklenecektir (/etc/init.d/ulogd) sistem başlangıcında, aşağıdaki gibi herhangi bir KISS dağıtımını kullanıyorsanız Arch Linux eklemeli Ulogd sistemde başlayan arka plan yordamları bölümüne /etc/rc.conf

Kurduktan sonra, iptables kuralları komut dosyalarına aşağıdaki satırı eklemeleri gerekir:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Ardından iptables kurallarınızı tekrar çalıştırın ve işte, her şey çalışıyor olacak 😉

Dosyadaki günlükleri arayın: /var/log/ulog/syslogemu.log

Bahsettiğim bu dosyada, ulogd varsayılan olarak reddedilen paket günlüklerini nerede bulur, ancak başka bir dosyada olmasını istiyorsanız ve bunda değil, satır # 53'ü değiştirebilirsiniz. /etc/ulogd.conf, sadece o satırı gösteren dosyanın yolunu değiştirirler ve ardından daemon'u yeniden başlatırlar:

sudo /etc/init.d/ulogd restart

Bu dosyaya yakından bakarsanız, günlükleri bir MySQL, SQLite veya Postgre veritabanına kaydetmek için bile seçenekler olduğunu göreceksiniz, aslında örnek yapılandırma dosyaları / usr / share / doc / ulogd / dizinindedir.

Tamam, zaten başka bir dosyada iptables günlüklerimiz var, şimdi bunları nasıl göstereceğiz?

Bunun için basit kedi yeterli olur:

cat /var/log/ulog/syslogemu.log

Unutmayın, yalnızca reddedilen paketler günlüğe kaydedilecektir, eğer bir web sunucunuz (bağlantı noktası 80) varsa ve bu web hizmetine herkesin erişebilmesi için yapılandırılmış iptables'ınız varsa, bununla ilgili günlükler günlüklere kaydedilmez. Ancak, bir SSH hizmetine sahiplerse ve iptables aracılığıyla 22 numaralı bağlantı noktasına erişimi yapılandırmışlarsa, yalnızca belirli bir IP'ye izin verecek şekilde, seçilen IP dışında herhangi bir IP'nin 22'ye erişmeye çalışması durumunda bu, günlüğe kaydedilecektir.

Size günlüğümden bir örnek satır gösteriyorum:

4 Mar 22:29:02 exia IN = wlan0 OUT = MAC = 00: 19: d2: 78: eb: 47: 00: 1d: 60: 7b: b7: f6: 08: 00 SRC = 10.10.0.1 DST = 10.10.0.51 .60 LEN = 00 TOS = 0 PREC = 00x64 TTL = 12881 ID = 37844 DF PROTO = TCP SPT = 22 DPT = 895081023 SEQ = 0 ACK = 14600 PENCERE = 0 SYN URGP = XNUMX

Gördüğünüz gibi, erişim girişiminin tarihi ve saati, arayüz (benim durumumda Wi-Fi), MAC adresi, erişimin kaynak IP'si ve hedef IP'si (benimki) ve aralarında çeşitli diğer veriler protokol (TCP) ve hedef port (22) vardır. Özetlemek gerekirse, 10 Mart saat 29: 4'da, IP 10.10.0.1, dizüstü bilgisayarımın (yani, dizüstü bilgisayarım) IP 22'e sahipken tüm bunları Wifi üzerinden 10.10.0.51 numaralı bağlantı noktasına (SSH) erişmeye çalıştı. (wlan0)

Gördüğünüz gibi ... gerçekten faydalı bilgiler 😉

Her neyse, söylenecek çok şey olduğunu sanmıyorum. Açık ara iptables veya ulogd konusunda uzman değilim, ancak bununla ilgili bir sorunu varsa bana bildirin ve onlara yardım etmeye çalışacağım

Selamlar 😀