使用ulogd在單獨的文件中顯示iptables日誌

這不是我們第一次談論 iptables的，我們之前已經提到過如何制定規則 在啟動計算機時會自動實現iptables，我們也解釋一下 iptables的基本/中等，以及其他幾項🙂

我們這些喜歡iptables的人總是發現的問題或煩惱是，iptables日誌（即被拒絕的數據包的信息）顯示在dmesg，kern.log或/ var / log /或syslog文件中，或者換句話說，在這些文件中不僅顯示了iptables信息，而且還顯示了許多其他信息，使得僅查看與iptables相關的信息有點繁瑣。

前一段時間，我們向您展示了 將日誌從iptables獲取到另一個文件但是...我不得不承認，我個人覺得這個過程有點複雜 ^ - ^

然後， 如何將iptables日誌保存到單獨的文件中並使其盡可能簡單？

解決方案是： 烏洛格德

烏洛格德 這是我們安裝的軟件包（en Debian 或衍生產品-»sudo apt-get install ulogd），它將恰好按照我剛剛告訴您的內容為我們服務。

要安裝它，請查找軟件包 烏洛格德 在他們的倉庫中並安裝它，然後將一個守護進程添加到他們（/etc/init.d/ulogd）在系統啟動時，如果您使用任何KISS發行版，例如 ArchLinux的 必須添加 烏洛格德 到以系統開頭的守護程序部分 在/etc/rc.conf

安裝後，必須在iptables規則腳本中添加以下行：

sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG

然後再次運行您的iptables規則腳本，瞧，一切都會正常😉

在文件中查找日誌： /var/log/ulog/syslogemu.log

在我提到的該文件中，默認情況下ulogd會在其中找到被拒絕的數據包日誌，但是，如果您希望它位於另一個文件中而不是在此文件中，則可以在其中修改第53行 /etc/ulogd.conf，它們只是更改顯示該行的文件的路徑，然後重新啟動守護程序：

sudo /etc/init.d/ulogd restart

如果仔細查看該文件，您會發現甚至可以將日誌保存在MySQL，SQLite或Postgre數據庫中，實際上示例配置文件位於/ usr / share / doc / ulogd /中。

好的，我們已經將iptables登錄到另一個文件中，現在如何顯示它們？

為此，一個簡單的 貓 足以：

cat /var/log/ulog/syslogemu.log

請記住，如果您具有Web服務器（端口80）並配置了iptables，以便每個人都可以訪問該Web服務，則只會記錄拒絕的數據包，與此相關的日誌將不保存在日誌中，如果沒有，擁有SSH服務，並且通過iptables他們配置了對端口22的訪問，因此它僅允許特定的IP，以防除所選IP以外的任何IP嘗試訪問22，則該IP將被保存在日誌中。

我在這裡向您展示日誌中的示例行：

4月22日29:02:0 exia IN = wlan00 OUT = MAC = 19：2：d78：47：eb：00：1：60d：7：7b：b6：f08：00:10.10.0.1 SRC = 10.10.0.51 DST = 60 .00 LEN = 0 TOS = 00 PREC = 64x12881 TTL = 37844 ID = 22 DF PROTO = TCP SPT = 895081023 DPT = 0 SEQ = 14600 ACK = 0窗口= XNUMX SYN URGP = XNUMX

如您所見，訪問嘗試的日期和時間，接口（在我的情況下為wifi），MAC地址，訪問的源IP以及目標IP（默認）以及其他一些數據，其中包括協議（TCP） ）和目標端口（22）。 總之，在10月29日4：10.10.0.1，IP 22嘗試訪問我筆記本電腦（即我的筆記本電腦）具有IP 10.10.0.51的端口0（SSH）時，都通過Wifi（wlanXNUMX）

如您所見...真正有用的信息😉

無論如何，我認為沒有更多要說的。 我目前還不是iptables或ulogd的專家，但是如果有人對此有疑問，請告訴我，我將盡力幫助他們

問候😀