The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Настройка пакета Ulogd и Nulog для регистрации событий от пакетного фильтра iptables (iptables ulog linux traffic)


<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>
Ключевые слова: iptables, ulog, linux, traffic,  (найти похожие документы)
From: Denis Frolov <http://www.redhat-club.org>; Date: Mon, 22 Sep 2008 17:02:14 +0000 (UTC) Subject: Настройка пакета Ulogd и Nulog для регистрации событий от пакетного фильтра iptables Оригинал: http://www.redhat-club.org/Articles/DenisFrolov/UlogdNulogdConfiguration Введение -------- Многие из вас уже знакомы с такой полезной опцией пакетного фильтра iptables как LOG которая позволяет регистрировать определенные пакеты проходящие через него. В данной статье я опишу полезное дополнение к iptables под названием Ulogd с помощью которого значительно расширяются возможности по регистрации пакетов проходящих через пакетный фильтр. Также в данной статье рассмотрена настройка WEB интерфейса к Ulogd под названием Nulog. Итак приступим. Для совместной работы ulogd в связке с nulog нам потребуется установленный mysql сервер, http-сервер apache с поддержкой php. Все это можно найти в любом дистрибутиве Linux. Установка Пакет ulogd включен в состав дистрибутива ASP Linux 11. Если вы используете другую операционную систему Linux например RHEL4, то вам необходимо взять srpm пакет в ftp.asplinux.ru и пересобрать из него rpm. Пакет Nulog можно скачать с http://www.inl.fr/old/Nulog.html Последняя версия доступная на момент написания данной статьи nulog-1.2.1. Установим необходимые пакеты : rpm -ihv ulogd-1.23-2.i386.rpm rpm -ihv ulogd-mysql-1.23-2.i386.rpm Распакуйте содержимое архива nulog в каталог /var/www/nulog Настройка Ulogd Перейдите в каталог /etc/ и отредактируйте файл ulogd.conf Нас интересуют следующие строки: Обязательно включите следующий плагин. plugin="/usr/lib/ulogd/ulogd_MYSQL.so" И отредактируйте следующий раздел: [MYSQL] table="ulog" pass="changeme" user="laforge" db="ulogd" host="localhost" В дальнейшем описании я буду использовать значения из раздела [MYSQL] которые установлены по умолчанию. Запустите сервер MySQL командой: service mysqld start Войдите в терминал MySQL командой mysql вы увидите приглашение на ввод команд: Нам необходимо создать базу данных которую вы указали в разделе [MYSQL] сделать это можно выполнив: >create database ulogd; Вы увидите вывод: Query OK, 1 row affected (0.00 sec) Значит база данных успешно создана. Также необходимо дать права на эту базу пользователю laforge, разрешить пользователю входить только с машины localhost, и указать пароль для пользователя laforge=changeme. >grant all on ulogd.* to laforge@localhost identified by 'changeme'; Query OK, 0 rows affected (0.03 sec) Теперь выйдите из интерфейса mysql выполнив: >\q Перейдите в каталог /var/www/nulog/scripts/ в данном каталоге есть файл ulogd.mysqldump который содержит поля базы данных. выполните команду: mysql -u laforge ulogd -p < ulogd.mysqldump Вас попросят ввести пароль. Введите changeme. Теперь вам необходимо указать какие события от пакетного фильтра на необходимо регистрировать. Для примера мы будем регистрировать попытки присоединиться к 22 порту интерфейса 127.0.0.1 :) Перейдите в каталог /etc/sysconfig и отредактируйте файл iptables. *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i lo -p tcp --dport 22 -j ULOG -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT # Далее следуют остальные правила iptables. В этот моменте есть одна тонкость: используйте действия ULOG до того как делаете разрешающие действия, т.к правила iptables обрабатываются по порядку. Перезапустите iptables командой: service iptables restart Запустите сервис ulogd : service ulogd start Nulog Перейдите в каталог /var/www/nulog/include/ и подправьте файл config.php установив опции: $lang="en" $db_user="laforge" $db_pwd="changeme" Перейдите в каталог /etc/httpd/conf.d создайте там файл nulog.conf следующего содержания: Alias /nulog "/var/www/nulog" <Directory "/var/www/nulog"> Options None AllowOverride None Order deny,allow Deny from all Allow from 127.0.0.1 Allow from IP_ADDR </Directory> Вместо IP_ADDR подставьте ip адрес с которого будет разрешено просматривать статистику работы Nulog. Перезапустите apache service httpd restart Теперь нам необходимо убедиться, что все работает для этого в командной строке наберите telnet 127.0.0.1 22 тем самым мы создадим событие которое должно попасть в БД ulogd. Наберите в броузере http://IP_ADDR/nulog/ вместо IP_ADDR подставьте ip адрес или доменное имя компьютера. Может распространяться свободно при указании авторства. Автор: Фролов Денис.

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

 Добавить комментарий
Имя:
E-Mail:
Заголовок:
Текст:




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру