iptablesVarsayılan olarak "Tümünü kabul et" modunda filtre kuralına sahiptir, yani bilgisayarımızdan veya bizim bilgisayarımıza yapılan tüm bağlantıların giriş ve çıkışına izin verir, ancak ya sunucularımıza veya bilgisayarlarımıza yapılan bağlantılarla ilgili tüm bilgileri günlüğe kaydetmek istersek?
Not: Şimdi uygulayacağım prosedür dağıtımlarda% 100 geçerlidir Debian/Debian tabanlıyani eğer kullanırsan Slackware, Fötr şapka, CentOS, AçıkSuSe, prosedür aynı olmayabilir, aşağıda açıklananları uygulamadan önce dağıtımınızın oturum açma sistemini okumanızı ve anlamanızı öneririz. Depolarda mevcutsa, dağıtımınıza rsyslog yükleme olasılığı da vardır, ancak bu öğreticide syslog da sonunda açıklanmıştır.
Şimdiye kadar hepsi iyi, ama neNereye giriş yapacağız? Kolay, dosyada «/var/log/güvenlik duvarı/iptables.log", ne yok, kendimize inanıncaya kadar ...
1- Dosyayı oluşturmalıyız «iptables.log»Klasörün içinde«/ var / log / güvenlik duvarı»Onu biz yaratmalıyız, çünkü o da yok.
mkdir -p / var / log / güvenlik duvarı /
/var/log/firewall/iptables.log'a dokunun
2- İzinler, çok önemli ...
chmod 600 /var/log/güvenlik duvarı/iptables.log
chown kökü: adm /var/log/firewall/iptables.log
3- rsyslog, Debian oturum açma arka plan programı, yapılandırmayı «/etc/rsyslog.d«, O halde« diyeceğim bir dosya oluşturmalıyız «güvenlik duvarı.conf»Yapmak istediklerimizi hangi rsyslog'dan yorumlayabilir.
/etc/rsyslog.d/firewall.conf'a dokunun
Ve içeride onu terk ediyoruz Caer nazikçe aşağıdaki içerik:
: msg, içerir, "iptables:" - / var / log / firewall / iptables.log
& ~
En ufak bir fikrim yokbu birkaç satır ne yapıyor?
İlk satır günlüğe kaydedilen verileri dizge için kontrol eder «iptables: »Ve onu dosyaya ekler«/var/log/güvenlik duvarı/iptables.log«
İkincisi, önceki modelle kaydedilen bilgilerin işlenmesini durdurur, böylece «/ var / log / messages".
4- Günlük dosyasını döndürme elde edildi.
«İçinde yaratmalıyız/etc/logrotate.d/" dosya "güvenlik duvarı»Aşağıdaki içeriği içerecek:
/var/log/güvenlik duvarı/iptables.log
{
7 döndür
günlük
boyut 10M
tarih metni
missingok
600 kök yönetici oluştur
notifempty
sıkıştırmak
gecikme sıkıştırmak
sonradan döndürmek
invoke-rc.d rsyslog yeniden yükle> / dev / null
son yazı
}
Günlükleri silmeden önce 7 kez döndürmek için günde 1 defa, maksimum log boyutu 10MB, sıkıştırılmış, tarihli, günlük yoksa hata vermeden kök olarak oluşturulmuştur.
5- Tüm mutlu son xD gibi rsyslog arka plan programını yeniden başlatın:
/etc/init.d/rsyslog yeniden başlat
Tüm bunların işe yaradığını nasıl kanıtlayabilirim?
SSH'yi deneyelim.
kurmak OpenSSH (yüklü değilse ...):
apt-get, openssh-server'ı kurar
Devam etmeden önce, bir konsolda root olarak çalıştırmalıyız:
iptables -A INPUT -p tcp --dport 22 --syn -j LOG --log-prefix "iptables: " --log-level 4
Bu iptables ifadesini yürütmek, yaptığımız şeyin boşuna olmadığını göstermek için yeterli bilgiyi günlüğe kaydedecektir. Bu ifadede, iptables'a 22 numaralı bağlantı noktası üzerinden gelen tüm bilgileri kaydetmesini söyleriz. Diğer hizmetlerle test etmek için, MySQL için 3306 gibi bağlantı noktası numarasını değiştirin, sadece bir örnek vermek için, daha fazla bilgi istiyorsanız, bu çok iyi belgelenmiş öğreticiyi okuyun ve en çok kullanılan konfigürasyonların tipik örneklerine dayanmaktadır.
SSH varsayılan olarak bağlantı noktası 22'yi kullanır, bu yüzden onunla test edeceğiz. Openssh'ı kurduktan sonra ona bağlanıyoruz.
ssh pepe @ test sunucusu
Günlükleri görmek için bir kuyrukla bu sorunu çözersiniz:
tail -f /var/log/güvenlik duvarı/iptables.log
Iptables, bu örnekte her şeyi, günü, saati, ip, mac vb. Günlükleri günlüğe kaydeder, bu da sunucularımızı izlemek için harika kılar. Asla acıtmayan küçük bir yardım.
Şimdi, başlangıçta söylediğim gibi başka bir dağıtım kullandığımıza dikkat edin, genellikle rsyslog, Veya benzeri. Dağıtımınız kullanıyorsa syslog, aynı alıştırmayı gerçekleştirmek için biraz düzenlememiz / değiştirmemiz gerekir sistem günlüğü.conf
nano /etc/syslog.conf
Aşağıdaki satırı ekleyin ve kaydedin:
kern.warning /var/log/firewall/iptables.log
Ve sonra, bilirsiniz, mutlu son:
/etc/init.d/sysklogd yeniden başlat
Sonuç: aynı.
Şimdilik hepsi bu kadar, gelecekteki gönderilerde iptables ile oynamaya devam edeceğiz.
Referanslar:
İptables'ı farklı bir dosyada oturum açmaya zorlayın
İptables'ı rsyslog ile ayrı bir dosyaya kaydedin
Fedora / RHEL sistemlerinde Iptables yapılandırma eğitimi
Yavaş yavaş yaptığınız BOFH için bu "mini el kitabı" harika
Teşekkürler, işimden bilmek zorunda olduğum, bazen ihtiyaç duyduğumuz ve internette çok az açıkladığımız iptables detaylarını ve verilerini yavaş yavaş vereceğim, hepsi kullanıcı tarafından ... xD
Bu vesileyle sizi karşılamak için kullanıyorum üye
Katkıda bulunacak gerçekten çok şeyiniz var, ağlar, sistemler, güvenlik duvarları vb. Hakkında gerçekten ileri düzeyde bilgiye sahipsiniz, bu yüzden hahaha sahip olacağınız birçok okuyucudan biri olacağım (ben).
Selamlar ve pekala ... bilirsin, ne pahasına olursa olsun 😀
Bu öğeleri dört gözle bekliyorum ^^
Hadi Koratsuki, bu bloga sık sık gittiğini bilmiyordum.
Bu arada, güvenlik duvarı etkinliğini günlüğe kaydetmenin başka bir türü de paketi kullanıyor UlogdBu tür izlerin ayrılmasını kolaylaştırmak için netfilter projesinin insanları tarafından yapılan (farklı şekillerde kaydetmeye izin verir). Genelde kullandığım yaklaşım bu. Kullanımı kolaydır, örneğin:
iptables -A INPUT -p udp -m multiport ! --ports 53,67:68 -m state --state NEW -j ULOG --ulog-prefix "Solicitud UDP dudosa"Gönderiye bir F5 vermem gerekecek, Ulogd çalışma şekli bana uyar, hatta MySQL şu türü günlüğe kaydeder: D.
İyi gönderi, devam et.
Merhaba patron nasıl gidiyor
Yardım edebilir misin?
Öğreticiyi alamadığım ve sudan daha net olduğu için nerede yanıldığımı bilmiyorum