GNU/Linux >> Tutoriales Linux > >> Linux

Cómo registrar paquetes descartados de IPTables Firewall de Linux en un archivo de registro

Este artículo es parte de nuestra serie de artículos IPTables de Linux en curso. Cuando las cosas no funcionan como se esperaba con sus reglas de IPTables, es posible que desee registrar los paquetes descartados de IPTables para solucionar problemas. Este artículo explica cómo registrar paquetes de cortafuegos descartados tanto entrantes como salientes.

Si es nuevo en IPTables, primero familiarícese con los conceptos fundamentales de IPTables.

Registrar todos los paquetes de entrada descartados

Primero, debemos entender cómo registrar todos los paquetes de entrada descartados de iptables en syslog.

Si ya tiene un montón de reglas de firewall de iptables, agréguelas en la parte inferior, lo que registrará todos los paquetes de entrada descartados (entrantes) en /var/log/messages

iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP

En el ejemplo anterior, hace lo siguiente:

iptables -N LOGGING:Crea una nueva cadena llamada LOGGING
iptables -A INPUT -j LOGGING:Todos los paquetes entrantes restantes saltarán a la cadena LOGGING
línea n.º 3:registre los paquetes entrantes en syslog (/var/log/messages). Esta línea se explica a continuación en detalle.
iptables -A LOGGING -j DROP:finalmente, descarta todos los paquetes que llegaron a la cadena LOGGING. es decir, ahora realmente descarta los paquetes entrantes.

En la línea #3 anterior, tiene las siguientes opciones para registrar los paquetes perdidos:

-m limit:utiliza el módulo de coincidencia de límites. Al usar esto, puede limitar el registro usando la opción –limit.
–límite 2/min:Esto indica la tasa de coincidencia promedio máxima para el registro. En este ejemplo, para paquetes similares, limitará el registro a 2 por minuto. También puede especificar 2/segundo, 2/minuto, 2/hora, 2/día. Esto es útil cuando no desea saturar sus mensajes de registro con mensajes repetidos de los mismos paquetes descartados.
-j LOG:Esto indica que el destino de este paquete es LOG. es decir, escribir en el archivo de registro.
–log-prefix “IPTables-Dropped:” Puede especificar cualquier prefijo de registro, que se agregará a los mensajes de registro que se escribirán en el archivo /var/log/messages
–log-level 4 Estos son los niveles estándar de syslog. 4 es advertencia. Puede usar un número del 0 al 7. 0 es emergencia y 7 es depuración.

Registrar todos los paquetes salientes descartados

Esto es lo mismo que arriba, pero la segunda línea a continuación tiene SALIDA en lugar de ENTRADA.

iptables -N LOGGING
iptables -A OUTPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP

Registrar todos los paquetes descartados (tanto entrantes como salientes)

Esto es lo mismo que antes, pero tomaremos la línea número 2 de los dos ejemplos anteriores y la agregaremos aquí. es decir, tendremos una línea separada para ENTRADA y SALIDA que saltará a la cadena de REGISTRO.

Para registrar los paquetes descartados entrantes y salientes, agregue las siguientes líneas al final de las reglas de firewall de iptables existentes.

iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A OUTPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP

Además, como explicamos anteriormente, de forma predeterminada, iptables usará /var/log/messages para registrar todos los mensajes. Si desea cambiar esto a su propio archivo de registro personalizado, agregue la siguiente línea a /etc/syslog.conf

kern.warning   /var/log/custom.log

Cómo leer el registro de IPTables

El siguiente es un ejemplo de las líneas que se registraron en /var/log/messages cuando se descartaron paquetes entrantes y salientes.

Aug  4 13:22:40 centos kernel: IPTables-Dropped: IN= OUT=em1 SRC=192.168.1.23 DST=192.168.1.20 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=59228 SEQ=2
Aug  4 13:23:00 centos kernel: IPTables-Dropped: IN=em1 OUT= MAC=a2:be:d2:ab:11:af:e2:f2:00:00 SRC=192.168.2.115 DST=192.168.1.23 LEN=52 TOS=0x00 PREC=0x00 TTL=127 ID=9434 DF PROTO=TCP SPT=58428 DPT=443 WINDOW=8192 RES=0x00 SYN URGP=0

En la salida anterior:

IPTables-Dropped:este es el prefijo que usamos en nuestro registro al especificar la opción –log-prefix
IN=em1 Esto indica la interfaz que se usó para estos paquetes entrantes. Esto estará vacío para los paquetes salientes
OUT=em1 Esto indica la interfaz que se usó para los paquetes salientes. Estará vacía para los paquetes entrantes.
SRC=La dirección IP de origen desde donde se originó el paquete
DST=La dirección IP de destino donde se enviaron los paquetes
LEN=Longitud del paquete
PROTO=Indica el protocolo (como se ve arriba, la primera línea es para el protocolo ICMP saliente, la segunda línea es para el protocolo TCP entrante)
SPT=Indica el puerto de origen
DPT=Indica el puerto de destino. En la segunda línea anterior, el puerto de destino es 443. Esto indica que los paquetes HTTPS entrantes se descartaron

Tutoriales adicionales de IPTables

Tutorial de cortafuegos de Linux:tablas IPTables, cadenas, fundamentos de reglas
IPTables de Linux:cómo agregar reglas de firewall (con el ejemplo Permitir SSH)
IPTables de Linux:ejemplos de reglas entrantes y salientes (SSH y HTTP)
IPTables Flush:eliminar/eliminar todas las reglas en RedHat y CentOS Linux
Los 25 ejemplos de reglas de IPTables de Linux más utilizados

Ejemplos de comandos OD de Linux (volcado octal)

11 ejemplos de comandos diff3 de Linux (comparar 3 archivos línea por línea)

Linux

Cómo verificar la suma de comprobación en Linux

Cómo configurar el cortafuegos de iptables en Linux

Cómo cambiar el archivo de registro de Sudo predeterminado en Linux

Cómo vincular un archivo en Linux

Cómo proteger un firewall de Linux con reglas de IPTables

Cómo configurar un cortafuegos en su servidor Linux