Настройка журналирования iptables в отдельный файл iptables.log на Debian 7 Wheezy
Вступление
Подавляющее большинство руководств предлагают вариант внесения строки в /etc/rsyslog.conf типа:
kern.warning /var/log/iptables.log или как и предлагаемый ниже, но с небольшими вариациями :msg, contains, "log-prefix" -/var/log/iptables.log
Но не один у меня на Debian 7 так и не заработал. Вернее, заработал, и в обоих случаях сообщения писались в /var/log/iptables.log, но продолжали дублироваться в /var/log/messages и /var/log/syslog, что очень раздражало, и задача была незавершенной. Поэтому и решил написать об этом.
В первую очередь надо знать как iptables вообще логирует. В качестве примера взял правило которое разрешает пинги и логирует их:
iptables -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j LOG --log-prefix "Ping detected: " iptables -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
Теперь по событию подпадающее под это правило будет писаться такое сообщение в /var/log/messages и /var/log/syslog:
kernel: [122972.300408] Ping detected: IN=eth0 OUT= MAC=00:35:c9:36:7e:d1:00:24:5d:а6:c2:40:08:90 SRC=xxx.xxx.xxx.xxx DST=xxx.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=124 ID=23020 PROTO=ICMP TYPE=8 CODE=0 ID=33602 SEQ=2462
Если попаданий в правила достаточно много, то невозможно проанализировать другие сообщения, т.к. сообщения iptables'а наводняют весь файл логов.
Сама настройка
Для избежания вышеописанного необходимо изменить критерий в префиксе сообщения, например так:
iptables -A INPUT -p ICMP -s 0/0 --icmp-type 8 -j LOG --log-prefix "Iptables: Ping detected: " iptables -A INPUT -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
И создать файл /etc/rsyslog.d/iptables.conf со следующим содержанием:
echo ':msg, contains, "Iptables: " -/var/log/iptables.log' > /etc/rsyslog.d/iptables.conf echo '& ~' >> /etc/rsyslog.d/iptables.conf
Где параметр
& ~ говорит о том что дальнейшую обработку записи производить не надо, следовательно она не попадет в другие файлы логов
"Iptables: " - log-prefix - критерий с которого начинается запись лога, чтобы rsyslog смог ее отловить и перенаправить в нужный файл. Его можно было и не менять, а оставить как есть Ping detected, но если правило не одно, то удобнее иметь общий префикс для всех правил, который и был сделан.
/var/log/iptables.log - файл в который писать лог
Перезапустить демон rsyslog:
/etc/init.d/rsyslog restart
Теперь сообщение в логе /var/log/iptables.log выглядит так:
kernel: [122972.300408] Iptables: Ping detected: IN=eth0 OUT= MAC=00:35:c9:36:7e:d1:00:24:5d:а6:c2:40:08:90 SRC=xxx.xxx.xxx.xxx DST=xxx.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=124 ID=23020 PROTO=ICMP TYPE=8 CODE=0 ID=33602 SEQ=2462
Наконец iptables пишет в свой личный лог не засирая системные.
Можно пойти дальше, создав правила для разных событий и каждое событие направить в свой лог, например:
# Логировать пакеты со статусом INVALID $IPT -A INPUT -m state --state INVALID -j LOG --log-prefix "Iptables: Invalid packet: " # Логировать INPUT пакеты, которые не попали ни в одно правило $IPT -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-prefix "Iptables: INPUT packet died: " # Логировать FORWARD пакеты, которые не попали ни в одно правило $IPT -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-prefix "Iptables: FORWARD packet died: "
Создать правила для ведения логирования каждого файла
mcedit /etc/rsyslog.d/iptables_invalid.conf :msg, contains, "Iptables: Invalid packet" -/var/log/iptables_invalid.log & ~ mcedit /etc/rsyslog.d/iptables_input.conf :msg, contains, "Iptables: INPUT" -/var/log/iptables_input.log & ~ mcedit /etc/rsyslog.d/iptables_forward.conf :msg, contains, "Iptables: FORWARD" -/var/log/iptables_forward.log & ~
Перезапустить rsyslog:
/etc/init.d/rsyslog restart
При такой конфигурации лог iptables разделен на три части и каждая пишется в свой файл.
Ротация логов Iptables
Настроить ротацию логов iptables можно создав файл /etc/logrotate.d/iptables со следующим содержимым. Для одного общего лога:
/var/log/iptables.log {
daily
rotate 30
compress
missingok
notifempty
sharedscripts
}
или для раздельных логов:
/var/log/iptables_invalid.log {
daily
rotate 30
compress
missingok
notifempty
}
/var/log/iptables_input.log {
daily
rotate 30
compress
missingok
notifempty
}
/var/log/iptables_forward.log {
daily
rotate 30
compress
missingok
notifempty
}
Где
daily - ротировать ежедневно
rotate 30 - сохранять 30 последних ротированных файлов
compress - сжимать
missingok - отсутствие файла не является ошибкой
notifempty - не обрабатывать пустые файлы
Дабы убедиться в работоспособности, можно принудительно запустить ротацию:
logrotate -f /etc/logrotate.conf
Для ubuntu нужно учесть ещё одну тонкость, в /etc/rsyslog.d/ есть файлик 50-default.conf и если просто добавить указанные файлы iptables_*.conf в эту директорию, то они будут иметь наименьший приоритет и правил в них будут обрабатываться уже после того самого 50-… что приведёт к тому, что сообщения будут писаться в настроенные файлы и в syslog останутся. Поэтому нужно либо править 50-default.conf на сей предмет, либо называть файлы что-то типа 49-iptables_*conf. Тогда всё будет хорошо. В дебиан я не смотрел как это устроено, но подозреваю, что может быть аналогично.
Можно вместо «:msg, contains» использовать «:msg, startswith» — так по идее будет работать быстрее, тем более что мы пропускаем через этот фильтр все сообщения syslog.
Хорошее дополнение. спасибо!
Приветствую, коллеги!
Настроил все по данному мануалу, нов нужный лог не идут записи с «Iptables: «, как здесь и написано, они идут в /var/log/syslog и в /var/log/kern.log
что я имею:
Файл 49-iptables.conf
# cat /etc/rsyslog.d/49-iptables.conf
# :msg, startswith, «Iptables: » -/var/log/iptables.log
# & ~
Создан файл /var/log/iptables.log
ему назначены права 666
Собственно, сами правила IPTABLES:
# Generated by iptables-save v1.6.0 on Thu Jul 26 12:55:47 2018
*mangle
:PREROUTING ACCEPT [7055:1268864]
:INPUT ACCEPT [600:62732]
:FORWARD ACCEPT [6293:1176316]
:OUTPUT ACCEPT [451:55820]
:POSTROUTING ACCEPT [6739:1230820]
COMMIT
# Completed on Thu Jul 26 12:55:47 2018
# Generated by iptables-save v1.6.0 on Thu Jul 26 12:55:47 2018
*nat
:PREROUTING ACCEPT [216:35921]
:INPUT ACCEPT [15:1334]
:OUTPUT ACCEPT [4:246]
:POSTROUTING ACCEPT [119:6329]
-A PREROUTING -i eth0 -p tcp -m tcp —dport 1973 -j DNAT —to-destination 172.23.11.50:22
-A PREROUTING -i eth0 -p tcp -m tcp —dport 3399 -j DNAT —to-destination 172.23.11.100:3389
-A PREROUTING -i eth0 -p tcp -m tcp —dport 3391 -j DNAT —to-destination 172.23.11.77:3389
-A PREROUTING -i eth0 -p tcp -m tcp —dport 2221 -j DNAT —to-destination 172.23.11.155
-A PREROUTING -i eth0 -p tcp -m tcp —dport 81 -j DNAT —to-destination 172.23.11.55:80
-A PREROUTING -i eth0 -p tcp -m tcp —dport 8444 -j DNAT —to-destination 172.23.11.55:443
-A PREROUTING -i eth0 -p tcp -m tcp —dport 25 -j DNAT —to-destination 172.23.11.55
-A PREROUTING -i eth0 -p tcp -m tcp —dport 143 -j DNAT —to-destination 172.23.11.55
-A PREROUTING -i eth0 -p tcp -m tcp —dport 993 -j DNAT —to-destination 172.23.11.55
-A PREROUTING -i eth0 -p tcp -m tcp —dport 110 -j DNAT —to-destination 172.23.11.55
-A PREROUTING -i eth0 -p tcp -m tcp —dport 995 -j DNAT —to-destination 172.23.11.55
-A PREROUTING -i eth0 -p tcp -m tcp —dport 465 -j DNAT —to-destination 172.23.11.55
-A PREROUTING -i eth0 -p tcp -m tcp —dport 587 -j DNAT —to-destination 172.23.11.55
-A PREROUTING -i eth0 -p tcp -m tcp —dport 80 -j DNAT —to-destination 172.23.11.50
-A PREROUTING -i eth0 -p tcp -m tcp —dport 443 -j DNAT —to-destination 172.23.11.50
-A PREROUTING -i eth0 -p tcp -m tcp —dport 21 -j DNAT —to-destination 172.23.11.100
-A PREROUTING -i eth0 -p tcp -m tcp —dport 20 -j DNAT —to-destination 172.23.11.100
-A PREROUTING -i eth0 -p tcp -m tcp —dport 32400 -j DNAT —to-destination 172.23.11.100
-A PREROUTING -i eth0 -p tcp -m tcp —dport 25565 -j DNAT —to-destination 172.23.11.55
-A PREROUTING -s 172.23.11.0/24 -p tcp -m tcp —dport 443 -j REDIRECT —to-ports 3129
-A PREROUTING -s 172.23.11.0/24 -p tcp -m tcp —dport 80 -j REDIRECT —to-ports 3128
-A POSTROUTING -s 172.23.104.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 172.23.103.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Jul 26 12:55:47 2018
# Generated by iptables-save v1.6.0 on Thu Jul 26 12:55:47 2018
*filter
:INPUT DROP [44:8982]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:REJECT_FLOOD28 — [0:0]
:REJECT_FLOOD46 — [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -s 172.23.104.0/24 -d 172.23.11.0/24 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp —dport 1194 -j ACCEPT
-A INPUT -i lo -p udp -m udp —dport 1194 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp —dport 1194 -j ACCEPT
-A INPUT -i eth0 -p gre -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp —dport 1723 -j ACCEPT
-A INPUT -p tcp -m state —state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m state —state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p udp -m udp —sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp —dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp —dport 443 -j ACCEPT
-A INPUT -i eth1 -p icmp -m icmp —icmp-type 0 -j ACCEPT
-A INPUT -i eth1 -p icmp -m icmp —icmp-type 8 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp —icmp-type 4 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp —icmp-type 11 -j ACCEPT
-A INPUT -i eth0 -p tcp -m multiport —dports 27014:27050 -j ACCEPT
-A INPUT -i eth0 -p udp -m multiport —dports 27000:27030 -j ACCEPT
-A INPUT -i eth0 -p udp -m multiport —dports 3478:3480 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp —dport 4380 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp —dport 27031 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp —dport 27036 -j ACCEPT
-A INPUT -m state —state INVALID -j LOG —log-prefix «iptables: Invalid packet: »
-A INPUT -m state —state INVALID -j DROP
-A INPUT -p tcp -m tcp —tcp-flags SYN,ACK SYN,ACK -m state —state NEW -j REJECT —reject-with tcp-reset
-A INPUT -p tcp -m tcp ! —tcp-flags FIN,SYN,RST,ACK SYN -m state —state NEW -j DROP
-A INPUT -p tcp -m tcp —tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A INPUT -p tcp -m tcp —tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp —tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
-A INPUT -p tcp -m tcp —tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp —tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp —tcp-flags FIN,SYN FIN,SYN -j DROP
-A INPUT -i eth0 -p udp -m udp —dport 27015 -m length —length 28 -j REJECT_FLOOD28
-A INPUT -i eth0 -p udp -m udp —dport 27015 -m length —length 46 -j REJECT_FLOOD46
-A INPUT -i eth0 -j LOG —log-prefix «iptables: INPUT DROP »
-A INPUT -m conntrack —ctstate INVALID -j LOG —log-prefix «iptables: INVALID $EXT »
-A INPUT -p tcp -m tcp —dport 80 —tcp-flags FIN,SYN,RST,ACK SYN -m connlimit —connlimit-above 10 —connlimit-mask 32 —connlimit-saddr -j DROP
-A INPUT -p udp -m udp —dport 53 -m connlimit —connlimit-above 5 —connlimit-mask 32 —connlimit-saddr -j DROP
-A INPUT -p tcp -m tcp —dport 22 —tcp-flags FIN,SYN,RST,ACK SYN -m connlimit —connlimit-above 3 —connlimit-mask 32 —connlimit-saddr -j REJECT —reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp —dport 80 —tcp-flags FIN,SYN,RST,ACK SYN -m connlimit —connlimit-above 20 —connlimit-mask 24 —connlimit-saddr -j DROP
-A INPUT -i eth0 -p icmp -m icmp —icmp-type 0 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp —icmp-type 3 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp —icmp-type 11 -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp —icmp-type 8 -j ACCEPT
-A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 443 -j ACCEPT
-A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 443 -j LOG —log-prefix «iptables: Web Mail 8444 »
-A FORWARD -s 172.23.104.0/24 -d 172.23.11.0/24 -i tun+ -o eth1 -p icmp -j ACCEPT
-A FORWARD -s 172.23.11.0/24 -d 172.23.104.0/24 -i eth1 -o tun+ -p icmp -j ACCEPT
-A FORWARD -s 172.23.104.0/24 -d 172.23.11.0/24 -i tun+ -o eth1 -p tcp -m tcp -m multiport —dports 22,3389 -j ACCEPT
-A FORWARD -s 172.23.11.0/24 -d 172.23.104.0/24 -i eth1 -o tun+ -p tcp -m tcp -m multiport —sports 22,3389 -j ACCEPT
-A FORWARD -s 172.23.103.0/24 -i ppp0 -m conntrack —ctstate NEW -j ACCEPT
-A FORWARD -p gre -j ACCEPT
-A FORWARD -m conntrack —ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 172.23.11.0/24 -i eth1 -m conntrack —ctstate NEW -j ACCEPT
-A FORWARD -d 172.23.11.50/32 -i eth0 -o eth1 -p tcp -m tcp —dport 22 -j ACCEPT
-A FORWARD -d 172.23.11.100/32 -i eth0 -o eth1 -p tcp -m tcp —dport 3389 -j LOG —log-prefix «iptables: RDP — LC »
-A FORWARD -d 172.23.11.100/32 -i eth0 -o eth1 -p tcp -m tcp —dport 3389 -j ACCEPT
-A FORWARD -d 172.23.11.77/32 -i eth0 -o eth1 -p tcp -m tcp —dport 3389 -j LOG —log-prefix «iptables: RDP — TS »
-A FORWARD -d 172.23.11.77/32 -i eth0 -o eth1 -p tcp -m tcp —dport 3389 -j ACCEPT
-A FORWARD -d 172.23.11.155/32 -i eth0 -o eth1 -p tcp -m tcp —dport 2221 -j ACCEPT
-A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 80 -j LOG —log-prefix «iptables: Web MAil 81 »
-A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 80 -j ACCEPT
-A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 25 -j LOG —log-prefix «iptables: SMTP »
-A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 25 -j ACCEPT
-A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 143 -j ACCEPT
-A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 993 -j ACCEPT
-A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 110 -j ACCEPT
-A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 995 -j ACCEPT
-A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 465 -j ACCEPT
-A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 587 -j ACCEPT
-A FORWARD -d 172.23.11.50/32 -i eth0 -o eth1 -p tcp -m tcp —dport 80 -j LOG —log-prefix «iptables: HTTP »
-A FORWARD -d 172.23.11.50/32 -i eth0 -o eth1 -p tcp -m tcp —dport 80 -j ACCEPT
-A FORWARD -d 172.23.11.50/32 -i eth0 -o eth1 -p tcp -m tcp —dport 443 -j LOG —log-prefix «iptables: HTPPS »
-A FORWARD -d 172.23.11.50/32 -i eth0 -o eth1 -p tcp -m tcp —dport 443 -j ACCEPT
-A FORWARD -d 172.23.11.100/32 -i eth0 -o eth1 -p tcp -m tcp —dport 21 -j LOG —log-prefix «iptables: FTP-IN »
-A FORWARD -d 172.23.11.100/32 -i eth0 -o eth1 -p tcp -m tcp —dport 21 -j ACCEPT
-A FORWARD -d 172.23.11.100/32 -i eth0 -o eth1 -p tcp -m tcp —dport 32400 -j LOG —log-prefix «iptables: PLEX »
-A FORWARD -d 172.23.11.100/32 -i eth0 -o eth1 -p tcp -m tcp —dport 32400 -j ACCEPT
-A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 25565 -j LOG —log-prefix «iptables: MINCRAFT »
-A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 25565 -j ACCEPT
-A FORWARD -m limit —limit 3/min —limit-burst 3 -j LOG —log-prefix «iptables: FORWARD packet died »
-A FORWARD -d 184.168.221.104/32 -i eth1 -j LOG —log-prefix «iptables: CONFICKER DETECTED » —log-level 6
-A FORWARD -d 199.59.243.117/32 -i eth1 -j LOG —log-prefix «iptables: CONFICKER DETECTED » —log-level 6
-A FORWARD -d 199.59.243.118/32 -i eth1 -j LOG —log-prefix «iptables: CONFICKER DETECTED » —log-level 6
-A FORWARD -d 199.59.243.119/32 -i eth1 -j LOG —log-prefix «iptables: CONFICKER DETECTED » —log-level 6
-A FORWARD -d 199.59.243.120/32 -i eth1 -j LOG —log-prefix «iptables: CONFICKER DETECTED » —log-level 6
-A FORWARD -d 199.59.243.121/32 -i eth1 -j LOG —log-prefix «iptables: CONFICKER DETECTED » —log-level 6
-A FORWARD -d 216.146.38.70/32 -i eth1 -j LOG —log-prefix «iptables: CONFICKER DETECTED » —log-level 6
-A FORWARD -d 216.146.39.70/32 -i eth1 -j LOG —log-prefix «iptables: CONFICKER DETECTED » —log-level 6
-A FORWARD -d 216.146.43.70/32 -i eth1 -j LOG —log-prefix «iptables: CONFICKER DETECTED » —log-level 6
-A FORWARD -d 91.198.22.70/32 -i eth1 -j LOG —log-prefix «iptables: CONFICKER DETECTED » —log-level 6
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT
-A OUTPUT -p udp -m udp —sport 1194 -m conntrack —ctstate RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp —sport 32768:60999 -j ACCEPT
-A OUTPUT -p udp -m udp —sport 32768:60999 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp —dport 53 -j ACCEPT
-A REJECT_FLOOD28 -j LOG —log-prefix «iptables: FLOOD LENGTH 28 » —log-level 6
-A REJECT_FLOOD28 -j DROP
-A REJECT_FLOOD46 -j LOG —log-prefix «iptables: FLOOD LENGTH 46 » —log-level 6
-A REJECT_FLOOD46 -j DROP
COMMIT
# Completed on Thu Jul 26 12:55:47 2018
попровка.
содеожимое файла /etc/rsyslog.d/49-iptables.conf
:msg, startswith, «Iptables: » -/var/log/iptables.log
& ~
блин, он меняет кавычки…
в общем, в файле нормалные кавычки прописаны
Первое, что бросается в глаза — разный регистр в настройке iptables и файла конфига rsyslog
Для форматирования используйте тег
codeилиРегистра изменил:
cat /etc/rsyslog.d/49-iptables.conf
[code]
:msg, startswith, «iptables: » -/var/log/iptables.log
& ~
[/code]
Записи по прежнему не идет
в каком формате писать тег?
Повторюсь…
В
cat /etc/rsyslog.d/49-iptables.conf:msg, startswith, «iptables: » -/var/log/iptables.log
& ~
Записи по прежнему не идет
Так и не понял что было, но после замены имен файлов /var/log/iptables.log на /var/log/1-ipfw.log и /etc/rsyslog/49-iptables.conf на /etc/rsyslog/10-iptables.conf, все заработало
Значит, в /etc/rsyslog уже был файл с меньшим номером, перехватывающий все сообщения с facility=kern
Спасибо за статью и комментарии!