Activation de la journalisation en iptables sur Linux un guide pour débutant

Iptable est un puissant outil de pare-feu qui est couramment utilisé sur les systèmes Linux pour contrôler le trafic réseau entrant et sortant. L'une des caractéristiques les plus importantes des iptables est sa capacité à enregistrer l'activité du réseau, qui peut être utilisée pour résoudre les problèmes et surveiller la sécurité. Cependant, de nombreux débutants peuvent trouver le processus d'activation de l'exploitation des iptables déroutant ou écrasant.

Avant de commencer, il est important de noter que la journalisation iptables n'est disponible que dans le noyau 2.4.X et versions ultérieures. Vous devez également avoir un accès root à votre système Linux pour effectuer les étapes décrites dans ce guide.

Ce guide vise à fournir une introduction claire et facile à suivre à la journalisation iptables pour les débutants.

Étape 1: Vérifiez les règles actuelles iptables

Avant de commencer, il est important de connaître les règles actuelles iptables qui sont en place sur votre système. Pour ce faire, entrez la commande suivante dans le terminal:

sudo iptables -l  

Cette commande vous montrera les règles iptables actuelles, y compris toutes les règles de journalisation.

Étape 2: Activer la journalisation en iptables

Pour permettre la connexion à Iptables, nous devons ajouter une nouvelle règle à la configuration iptables. Cela peut être fait en utilisant la commande suivante:

sudo iptables -a entrée -j journal  

Cette commande ajoute une nouvelle règle qui enregistre tout le trafic entrant. Si vous souhaitez enregistrer uniquement des types de trafic spécifiques, vous pouvez utiliser le -p Option pour spécifier le protocole, tel que TCP ou UDP, et le -s Option pour spécifier l'adresse IP source.

sudo iptables -a entrée -p tcp -s 192.168.dix.0/24 -j journal  

Pour définir le niveau de journal généré par les iptables --niveau logarithmique suivi du numéro de niveau.

sudo iptables -a entrée -s 192.168.dix.0/24 -J Log - Log-Level 4  

Nous pouvons également ajouter des préfixes dans les journaux générés, il sera donc facile de rechercher des journaux dans un énorme fichier.

sudo iptables -a entrée -s 192.168.dix.0/24 -J Log - log-prefix '** suspect **'  

Étape 3: Configurer Syslog

Par défaut, les journaux iptables sont envoyés au tampon de message du noyau. Pour afficher ces journaux, vous devez configurer Syslog pour lire le tampon de message et écrire les journaux dans un fichier. Cela peut être fait en modifiant le fichier de configuration syslog, généralement situé à / etc / syslog.confli ou / etc / rsyslog.confli.

Vous devrez ajouter la ligne suivante au fichier de configuration Syslog pour activer la journalisation iptables:

Étape 4: Vérifiez la journalisation

Pour vérifier que la journalisation a été activée et configurée correctement, entrez la commande suivante dans le terminal:

Sudo Tail -f / var / log / iptables.enregistrer  

Cette commande affichera les dernières lignes du fichier journal iptables et continuera à afficher de nouvelles lignes lorsqu'ils sont ajoutés au fichier.

Vous pouvez également utiliser des analyseurs de journaux comme logwatch, et iptables-log-battant Pour obtenir plus d'informations sur les journaux.

Étape 5: Désactiver la journalisation

Si vous ne souhaitez plus enregistrer le trafic iptables, vous pouvez désactiver la journalisation en supprimant la règle qui a été ajoutée à l'étape 2. Cela peut être fait en utilisant la commande suivante:

sud-iptables -d entrée -j journal  

Conclusion

Activer la journalisation en iptables sur un système Linux est une étape importante dans la surveillance et la sécurisation de votre réseau. En suivant les étapes décrites dans ce guide, vous devriez maintenant avoir une compréhension de base de la façon d'activer la journalisation en iptables et comment utiliser les journaux pour résoudre les problèmes et améliorer la sécurité. N'oubliez pas que la connexion en iptables n'est qu'un aspect de la sécurité du réseau, et il est important de tenir votre système à jour, d'utiliser des mots de passe forts et d'être conscients d'autres vulnérabilités de votre réseau. Gardez à l'esprit que l'exploitation forestière est un processus continu et vous devez le surveiller régulièrement pour garder votre système en sécurité.