Ativando o log no iptables no Linux um guia para iniciantes

Iptables é uma poderosa ferramenta de firewall que é comumente usada em sistemas Linux para controlar o tráfego de rede de entrada e saída. Uma das características mais importantes dos iptables é sua capacidade de registrar a atividade da rede, que pode ser usada para solucionar problemas e monitorar a segurança. No entanto, muitos iniciantes podem achar o processo de permitir o registro em iptables confusos ou esmagadores.

Antes de começarmos, é importante observar que o log de iptables está disponível apenas no kernel 2.4.x e versões posteriores. Além disso, você precisa ter acesso raiz ao seu sistema Linux para executar as etapas descritas neste guia.

Este guia tem como objetivo fornecer uma introdução clara e fácil de seguir para o log de iptables para iniciantes.

Etapa 1: verifique as regras atuais de iptables

Antes de começarmos, é importante conhecer as regras atuais de iptables que estão em vigor no seu sistema. Para fazer isso, insira o seguinte comando no terminal:

sudo iptables -l  

Este comando mostrará as regras atuais do iptables, incluindo quaisquer regras para registro.

Etapa 2: Ative o log nos iptables

Para ativar o login nos iptables, precisamos adicionar uma nova regra à configuração iptables. Isso pode ser feito usando o seguinte comando:

sudo iptables -a input -j log  

Este comando adiciona uma nova regra que registra todo o tráfego de entrada. Se você deseja registrar apenas tipos específicos de tráfego, você pode usar o -p opção para especificar o protocolo, como TCP ou UDP, e o -s opção para especificar o endereço IP de origem.

sudo iptables -a input -p tcp -s 192.168.10.0/24 -J LOG  

Para definir o nível de log gerado pelo uso de iptables --Nível de log seguido pelo número de nível.

sudo iptables -a entrada -s 192.168.10.0/24 -J LOG -LOG -LEVEL 4  

Também podemos adicionar alguns prefixos em toras geradas, por isso será fácil procurar logs em um arquivo enorme.

sudo iptables -a entrada -s 192.168.10.0/24 -J LOG - -LOG -PREFIX '** suspeito **'  

Etapa 3: Configurar syslog

Por padrão, os logs iptables são enviados para o buffer de mensagem do kernel. Para visualizar esses logs, você precisa configurar o syslog para ler o buffer de mensagem e escrever os logs em um arquivo. Isso pode ser feito editando o arquivo de configuração syslog, normalmente localizado em /etc/syslog.conf ou /etc/rsyslog.conf.

Você precisará adicionar a seguinte linha ao arquivo de configuração do syslog para ativar o log de iptables:

Etapa 4: Verifique o registro

Para verificar se o registro foi ativado e configurado corretamente, insira o seguinte comando no terminal:

cauda sudo -f/var/log/iptables.registro  

Este comando exibirá as últimas linhas do arquivo de log iptables e continuará exibindo novas linhas à medida que são adicionadas ao arquivo.

Você também pode usar analisadores de logs como LogWatch, e iptables-log-parser Para obter mais informações dos troncos.

Etapa 5: Desative o registro

Se você não deseja mais registrar o tráfego iptables, pode desativar o registro removendo a regra que foi adicionada na Etapa 2. Isso pode ser feito usando o seguinte comando:

sudo iptables -d entrada -j log  

Conclusão

Permitir o log no iptables em um sistema Linux é uma etapa importante para monitorar e proteger sua rede. Seguindo as etapas descritas neste guia, agora você deve ter um entendimento básico de como ativar o registro nos iptables e como usar logs para solucionar problemas e melhorar a segurança. Lembre -se de que o login nos iptables é apenas um aspecto da segurança da rede e é importante manter seu sistema atualizado, usar senhas fortes e estar ciente de outras vulnerabilidades em sua rede. Lembre -se de que o registro é um processo contínuo e você precisa monitorá -lo regularmente para manter seu sistema seguro.