這不是我們第一次談論 iptables的,我們之前已經提到過如何制定規則 在啟動計算機時會自動實現iptables,我們也解釋一下 iptables的基本/中等,以及其他幾項🙂
我們這些喜歡iptables的人總是發現的問題或煩惱是,iptables日誌(即被拒絕的數據包的信息)顯示在dmesg,kern.log或/ var / log /或syslog文件中,或者換句話說,在這些文件中不僅顯示了iptables信息,而且還顯示了許多其他信息,使得僅查看與iptables相關的信息有點繁瑣。
前一段時間,我們向您展示了 將日誌從iptables獲取到另一個文件但是...我不得不承認,我個人覺得這個過程有點複雜 ^ - ^
然後, 如何將iptables日誌保存到單獨的文件中並使其盡可能簡單?
解決方案是: 烏洛格德
烏洛格德 這是我們安裝的軟件包(en Debian 或衍生產品-»sudo apt-get install ulogd),它將恰好按照我剛剛告訴您的內容為我們服務。
要安裝它,請查找軟件包 烏洛格德 在他們的倉庫中並安裝它,然後將一個守護進程添加到他們(/etc/init.d/ulogd)在系統啟動時,如果您使用任何KISS發行版,例如 ArchLinux的 必須添加 烏洛格德 到以系統開頭的守護程序部分 在/etc/rc.conf
安裝後,必須在iptables規則腳本中添加以下行:
sudo iptables -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ULOG
然後再次運行您的iptables規則腳本,瞧,一切都會正常😉
在文件中查找日誌: /var/log/ulog/syslogemu.log
在我提到的該文件中,默認情況下ulogd會在其中找到被拒絕的數據包日誌,但是,如果您希望它位於另一個文件中而不是在此文件中,則可以在其中修改第53行 /etc/ulogd.conf,它們只是更改顯示該行的文件的路徑,然後重新啟動守護程序:
sudo /etc/init.d/ulogd restart
如果仔細查看該文件,您會發現甚至可以將日誌保存在MySQL,SQLite或Postgre數據庫中,實際上示例配置文件位於/ usr / share / doc / ulogd /中。
好的,我們已經將iptables登錄到另一個文件中,現在如何顯示它們?
為此,一個簡單的 貓 足以:
cat /var/log/ulog/syslogemu.log
請記住,如果您具有Web服務器(端口80)並配置了iptables,以便每個人都可以訪問該Web服務,則只會記錄拒絕的數據包,與此相關的日誌將不保存在日誌中,如果沒有,擁有SSH服務,並且通過iptables他們配置了對端口22的訪問,因此它僅允許特定的IP,以防除所選IP以外的任何IP嘗試訪問22,則該IP將被保存在日誌中。
我在這裡向您展示日誌中的示例行:
4月22日29:02:0 exia IN = wlan00 OUT = MAC = 19:2:d78:47:eb:00:1:60d:7:7b:b6:f08:00:10.10.0.1 SRC = 10.10.0.51 DST = 60 .00 LEN = 0 TOS = 00 PREC = 64x12881 TTL = 37844 ID = 22 DF PROTO = TCP SPT = 895081023 DPT = 0 SEQ = 14600 ACK = 0窗口= XNUMX SYN URGP = XNUMX
如您所見,訪問嘗試的日期和時間,接口(在我的情況下為wifi),MAC地址,訪問的源IP以及目標IP(默認)以及其他一些數據,其中包括協議(TCP) )和目標端口(22)。 總之,在10月29日4:10.10.0.1,IP 22嘗試訪問我筆記本電腦(即我的筆記本電腦)具有IP 10.10.0.51的端口0(SSH)時,都通過Wifi(wlanXNUMX)
如您所見...真正有用的信息😉
無論如何,我認為沒有更多要說的。 我目前還不是iptables或ulogd的專家,但是如果有人對此有疑問,請告訴我,我將盡力幫助他們
問候😀
https://blog.desdelinux.net/iptables-para-novatos-curiosos-interesados/
我記得那篇文章讓我開始關注他們..呵呵..
謝謝你,很榮幸你能做到me
ulogd僅用於iptables還是通用? 允許設置頻道? 通過網絡記錄?
相信它僅適用於iptables,但是請給它一個“ man ulogd”以消除疑問。
您是正確的:“ ulogd-Netfilter用戶空間日誌記錄守護程序”
+1,口齒清楚!
謝謝,來自不是最奉承的人之一的你意味著很多means
這並不意味著我比任何人都了解更多,但是我脾氣暴躁
再次感謝您的帖子,參考有關西班牙裔Linux博客圈危機的另一篇文章,您的這篇帖子-談到技術帖子-只是西班牙語/卡斯蒂利亞語中所需的帖子類型。
始終歡迎系統管理員這樣的高質量技術人員,直接進入收藏夾8)
是的,事實是技術文章才是需要的...我從不厭其煩地說,實際上我已經在這裡談論過它-» https://blog.desdelinux.net/que-aporta-realmente-desdelinux-a-la-comunidad-global/
無論如何,再次感謝您……我將盡力保持這種技術態度😀
問候