Hiển thị nhật ký iptables trong tệp riêng biệt với ulogd

Đây không phải là lần đầu tiên chúng ta nói về iptables, chúng tôi đã đề cập trước về cách đưa ra các quy tắc iptables được tự động triển khai khi bạn khởi động máy tính, chúng tôi cũng giải thích những gì cơ bản / phương tiện trên iptablesvà một số thứ khác 🙂

Vấn đề hoặc khó chịu mà những người trong chúng ta, những người thích iptables luôn thấy là, nhật ký iptables (tức là thông tin của các gói bị từ chối) được hiển thị trong các tệp dmesg, kern.log hoặc syslog của / var / log /, hoặc Nói cách khác, không chỉ thông tin iptables được hiển thị trong các tệp này mà còn rất nhiều thông tin khác, khiến việc chỉ xem thông tin liên quan đến iptables sẽ hơi tẻ nhạt.

Một lúc trước, chúng tôi đã chỉ cho bạn cách lấy nhật ký từ iptables sang một tệp khác, tuy nhiên ... tôi phải thừa nhận rằng cá nhân tôi thấy quá trình này hơi phức tạp ^ - ^

Sau đó, Làm cách nào để chuyển nhật ký iptables vào một tệp riêng biệt và giữ cho nó đơn giản nhất có thể?

Giải pháp là: ulogd

ulogd nó là một gói mà chúng tôi đã cài đặt (en Debian hoặc các dẫn xuất - »sudo apt-get install ulogd) và nó sẽ phục vụ chúng tôi chính xác cho điều này mà tôi vừa nói với bạn.

Để cài đặt nó mà bạn biết, hãy tìm gói ulogd trong kho của họ và cài đặt nó, sau đó một daemon sẽ được thêm vào họ (/etc/init.d/ulogd) khi khởi động hệ thống, nếu bạn sử dụng bất kỳ bản phân phối KISS nào như ArchLinux nên thêm ulogd đến phần daemon bắt đầu với hệ thống trong /etc/rc.conf

Sau khi cài đặt xong, họ phải thêm dòng sau vào tập lệnh quy tắc iptables của mình:

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

Sau đó, chạy lại tập lệnh quy tắc iptables của bạn và thì đấy, mọi thứ sẽ hoạt động 😉

Tìm nhật ký trong tệp: /var/log/ulog/syslogemu.log

Trong tệp này mà tôi đề cập đến là nơi theo mặc định ulogd định vị nhật ký gói bị từ chối, tuy nhiên nếu bạn muốn nó nằm trong tệp khác chứ không phải trong tệp này, bạn có thể sửa đổi dòng # 53 trong /etc/ulogd.conf, họ chỉ cần thay đổi đường dẫn của tệp hiển thị dòng đó và sau đó khởi động lại daemon:

sudo /etc/init.d/ulogd restart

Nếu bạn nhìn kỹ vào tệp đó, bạn sẽ thấy rằng có các tùy chọn để thậm chí lưu nhật ký trong cơ sở dữ liệu MySQL, SQLite hoặc Postgre, trên thực tế, các tệp cấu hình mẫu nằm trong / usr / share / doc / ulogd /

Ok, chúng ta đã có nhật ký iptables trong một tệp khác, bây giờ làm thế nào để hiển thị chúng?

Đối với điều này một cách đơn giản làm sao sẽ đủ:

cat /var/log/ulog/syslogemu.log

Hãy nhớ rằng, chỉ các gói bị từ chối mới được ghi nhật ký, nếu bạn có máy chủ web (cổng 80) và đã cấu hình iptables để mọi người có thể truy cập dịch vụ web này, thì các bản ghi liên quan đến điều này sẽ không được lưu trong nhật ký, không có Tuy nhiên, nếu họ có dịch vụ SSH và thông qua iptables, họ đã định cấu hình quyền truy cập vào cổng 22 để nó chỉ cho phép một IP cụ thể, trong trường hợp bất kỳ IP nào khác với IP đã chọn cố gắng truy cập 22 thì điều này sẽ được lưu trong nhật ký.

Tôi chỉ cho bạn ở đây một dòng ví dụ từ nhật ký của tôi:

Ngày 4 tháng 22 29:02:0 exia IN = wlan00 OUT = MAC = 19: 2: d78: 47: eb: 00: 1: 60d: 7: 7b: b6: f08: 00: 10.10.0.1 SRC = 10.10.0.51 DST = 60 .00 LEN = 0 TOS = 00 PREC = 64x12881 TTL = 37844 ID = 22 DF PROTO = TCP SPT = 895081023 DPT = 0 SEQ = 14600 ACK = 0 WINDOW = XNUMX SYN URGP = XNUMX

Như bạn có thể thấy, ngày và giờ cố gắng truy cập, giao diện (wifi trong trường hợp của tôi), địa chỉ MAC, IP nguồn của truy cập cũng như IP đích (của tôi) và một số dữ liệu khác trong đó giao thức (TCP) và cổng đích (22) được tìm thấy. Tóm lại, vào lúc 10:29 ngày 4 tháng 10.10.0.1, IP 22 đã cố gắng truy cập vào cổng 10.10.0.51 (SSH) của máy tính xách tay của tôi khi nó (tức là máy tính xách tay của tôi) có IP 0, tất cả đều thông qua Wifi. (wlanXNUMX)

Như bạn thấy ... thông tin thực sự hữu ích 😉

Dù sao, tôi không nghĩ rằng có nhiều điều để nói. Cho đến nay tôi không phải là chuyên gia về iptables hoặc ulogd, tuy nhiên, nếu ai có vấn đề với điều này, hãy cho tôi biết và tôi sẽ cố gắng giúp họ

Xin chào 😀


Nội dung bài viết tuân thủ các nguyên tắc của chúng tôi về đạo đức biên tập. Để báo lỗi, hãy nhấp vào đây.

9 bình luận, để lại của bạn

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố.

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   renelopez91 dijo

    https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
    Tôi nhớ rằng với bài báo đó tôi bắt đầu theo dõi họ .. hehe ..

    1.    KZKG ^ Gaara dijo

      Cảm ơn bạn, rất vinh dự khi bạn làm cho tôi 😀

  2.   thợ săn dijo

    ulogd là nó chỉ dành cho iptables hay là nó chung chung? cho phép đặt kênh? đăng nhập bằng mạng?

    1.    KZKG ^ Gaara dijo

      Hãy tin rằng nó chỉ dành cho iptables, tuy nhiên, hãy đặt cho nó một 'man ulogd' để loại bỏ những nghi ngờ.

      1.    thợ săn dijo

        Bạn đúng: "ulogd - Daemon ghi nhật ký không gian người dùng Netfilter"

  3.   msx dijo

    +1, nói rõ ràng tuyệt vời!

    1.    KZKG ^ Gaara dijo

      Cảm ơn, đến từ bạn, người không phải là một trong những người tâng bốc nhất có nghĩa là rất nhiều 🙂

      1.    msx dijo

        Điều đó không có nghĩa là tôi biết nhiều hơn bất kỳ ai mà chỉ là tôi cục cằn xD
        Một lần nữa, cảm ơn bạn vì bài đăng, hãy tham khảo bài viết khác về cuộc khủng hoảng trong thế giới blog linux của người Tây Ban Nha, bài đăng này của bạn - nói về các bài đăng kỹ thuật - chỉ là loại bài đăng cần thiết bằng ngôn ngữ Tây Ban Nha / Castilian.
        Các bài đăng kỹ thuật chất lượng như bài này từ sysadmins luôn được chào đón và chuyển thẳng đến mục yêu thích 8)

        1.    KZKG ^ Gaara dijo

          Vâng, sự thật là các bài báo kỹ thuật là thứ cần thiết ... Tôi không bao giờ mệt mỏi khi nói điều đó, thực tế là tôi đã nói về nó ở đây - » https://blog.desdelinux.net/que-aporta-realmente-desdelinux-a-la-comunidad-global/

          Dù sao, cảm ơn một lần nữa ... Tôi sẽ cố gắng duy trì như vậy với các bài đăng kỹ thuật 😀

          Liên quan