Włączanie logowania w IPTABLES w Linux Przewodnik dla początkujących

IPTABLES to potężne narzędzie zapory, które jest powszechnie używane w systemach Linux do kontrolowania przychodzącego i wychodzącego ruchu sieciowego. Jedną z najważniejszych funkcji IPTables jest możliwość rejestrowania aktywności sieciowej, którą można wykorzystać do rozwiązywania problemów i monitorowania bezpieczeństwa. Jednak wielu początkujących może znaleźć proces umożliwiania rejestrowania w iptables mylący lub przytłaczający.

Zanim zaczniemy, należy pamiętać, że rejestrowanie iptables jest dostępne tylko w jądrze 2.4.X i późniejsze wersje. Musisz także mieć dostęp do systemu Linux, aby wykonać kroki przedstawione w tym przewodniku.

Niniejszy przewodnik ma na celu zapewnienie wyraźnego i łatwego do naśladowania wprowadzenie do rejestrowania IPTABLES dla początkujących.

Krok 1: Sprawdź aktualne reguły IPTABLES

Zanim zaczniemy, ważne jest, aby znać obecne zasady IPTABLES, które są wprowadzane w systemie. Aby to zrobić, wprowadź następujące polecenie w terminalu:

sudo iptables -l  

To polecenie pokaże bieżące reguły IPTABLES, w tym wszelkie reguły rejestrowania.

Krok 2: Włącz rejestrowanie w iPtables

Aby włączyć logowanie do IPTables, musimy dodać nową regułę do konfiguracji IPTABLES. Można to zrobić za pomocą następującego polecenia:

sudo iptables -a wejście -j dziennik  

To polecenie dodaje nową regułę, która rejestruje cały przychodzący ruch. Jeśli chcesz zarejestrować tylko określone rodzaje ruchu, możesz użyć -P opcja określenia protokołu, takiego jak TCP lub UDP i -S opcja określa źródła adres IP.

sudo iptables -a wejście -p tcp -s 192.168.10.Dziennik 0/24 -J  

Aby zdefiniować poziom dziennika wygenerowanego przez iptables Użyj --poziom dziennika a następnie numer poziomu.

sudo iptables -a wejście -s 192.168.10.Log 0/24 -J -LOG -poziom 4  

Możemy również dodać niektóre prefiks w wygenerowanych dziennikach, aby łatwo było wyszukiwać dzienniki w ogromnym pliku.

sudo iptables -a wejście -s 192.168.10.0/24 -J log - -log -prefix '** podejrzany **'  

Krok 3: Skonfiguruj syslog

Domyślnie dzienniki IPTABLES są wysyłane do bufora wiadomości jądra. Aby wyświetlić te dzienniki, musisz skonfigurować syslog, aby odczytać bufor wiadomości i zapisać dzienniki do pliku. Można to zrobić, edytując plik konfiguracyjny Syslog, zwykle znajdujący się pod adresem /etc/syslog.conf Lub /etc/rsyslog.conf.

Musisz dodać następujący wiersz do pliku konfiguracyjnego Syslog, aby włączyć rejestrowanie IPTABLE:

Krok 4: Sprawdź rejestrowanie

Aby sprawdzić, czy rejestrowanie zostało poprawnie włączone i skonfigurowane, wprowadź następujące polecenie w terminalu:

sudo ogon -f/var/log/iptables.dziennik  

To polecenie wyświetli kilka ostatnich wierszy pliku dziennika IPTABLES i będzie nadal wyświetlać nowe wiersze, gdy są one dodawane do pliku.

Możesz także użyć analizatorów dziennika, takich jak logwatch, I IPTABLES-LOG-PARSER Aby uzyskać więcej informacji z dzienników.

Krok 5: Wyłącz rejestrowanie

Jeśli nie chcesz już zarejestrować ruchu iptables, możesz wyłączyć rejestrowanie, usuwając regułę dodaną w kroku 2. Można to zrobić za pomocą następującego polecenia:

sudo iptables -d wejście -j dziennik  

Wniosek

Włączanie rejestrowania w systemie Linux jest ważnym krokiem w monitorowaniu i zabezpieczeniu sieci. Postępując zgodnie z krokami opisanymi w tym przewodniku, powinieneś teraz mieć podstawowe zrozumienie, w jaki sposób umożliwić logowanie w iptables i jak korzystać z dzienników, aby rozwiązywać problemy z rozwiązywaniem problemów i poprawić bezpieczeństwo. Pamiętaj, że logowanie w iptables to tylko jeden aspekt bezpieczeństwa sieci i ważne jest, aby informować system, korzystać z silnych haseł i być świadomym innych luk w sieci. Pamiętaj, że rejestrowanie jest procesem ciągłym i musisz go regularnie monitorować, aby zapewnić bezpieczeństwo systemu.