Monday, October 16th, 2017

Настройка пакета Ulogd и Nulog для регистрации событий от пакетного фильтра iptables

Published on Март 30, 2009 by   ·   Комментариев нет

Введение
———

Многие из вас уже знакомы с такой полезной опцией пакетного фильтра
iptables как LOG которая позволяет регистрировать определенные пакеты
проходящие через него.

В данной статье я опишу полезное дополнение к iptables под названием
Ulogd с помощью которого значительно расширяются возможности по
регистрации пакетов проходящих через пакетный фильтр.

Также в данной статье рассмотрена настройка WEB интерфейса к Ulogd под
названием Nulog.

Итак приступим.

Для совместной работы ulogd в связке с nulog нам потребуется
установленный mysql сервер, http-сервер apache с поддержкой php.

Все это можно найти в любом дистрибутиве Linux.

Установка

Пакет ulogd включен в состав дистрибутива ASP Linux 11.

Если вы используете другую операционную систему Linux например RHEL4,
то вам необходимо взять srpm пакет в ftp.asplinux.ru и пересобрать из
него rpm.

Пакет Nulog можно скачать с http://www.inl.fr/old/Nulog.html
Последняя версия доступная на момент написания данной статьи
nulog-1.2.1.

Установим необходимые пакеты :

         rpm -ihv ulogd-1.23-2.i386.rpm
         rpm -ihv ulogd-mysql-1.23-2.i386.rpm

Распакуйте содержимое архива nulog в каталог /var/www/nulog

Настройка

Ulogd

Перейдите в каталог /etc/ и отредактируйте файл ulogd.conf

Нас интересуют следующие строки:

Обязательно включите следующий плагин.

        plugin="/usr/lib/ulogd/ulogd_MYSQL.so"

И отредактируйте следующий раздел:

        [MYSQL]
        table="ulog"
        pass="changeme"
        user="laforge"
        db="ulogd"
        host="localhost"

В дальнейшем описании я буду использовать значения из раздела [MYSQL]
которые установлены по умолчанию.

Запустите сервер MySQL командой:

  service mysqld start

Войдите в терминал MySQL командой

   mysql

вы увидите приглашение на ввод команд:

Нам необходимо создать базу данных которую вы указали в разделе [MYSQL]
сделать это можно выполнив:

  >create database ulogd;


   Вы увидите вывод:

       [cc lang="bash" tab_size="2" lines="-1"] Query OK, 1 row affected (0.00 sec)

Значит база данных успешно создана. Также необходимо дать права на эту
базу пользователю laforge, разрешить пользователю входить только с
машины localhost, и указать пароль для пользователя laforge=changeme.

        >grant all on ulogd.* to laforge@localhost identified by 'changeme';
         Query OK, 0 rows affected (0.03 sec)


   Теперь выйдите из интерфейса mysql выполнив:

     [cc lang="bash" tab_size="2" lines="-1"]   >\q

Перейдите в каталог /var/www/nulog/scripts/ в данном каталоге есть файл
ulogd.mysqldump который содержит поля базы данных. выполните команду:

 mysql -u laforge ulogd -p < ulogd.mysqldump

Вас попросят ввести пароль. Введите changeme.

Теперь вам необходимо указать какие события от пакетного фильтра на
необходимо регистрировать.

Для примера мы будем регистрировать попытки присоединиться к 22 порту
интерфейса 127.0.0.1 :)

Перейдите в каталог /etc/sysconfig и отредактируйте файл iptables.

        *filter
        :INPUT DROP [0:0]
        :FORWARD DROP [0:0]
        :OUTPUT DROP [0:0]
        -A INPUT -i lo -p tcp --dport 22  -j ULOG
        -A INPUT -i lo -j ACCEPT
        -A OUTPUT -o lo -j ACCEPT
        # Далее следуют остальные правила iptables.

В этот моменте есть одна тонкость: используйте действия ULOG до того
как делаете разрешающие действия, т.к правила iptables обрабатываются
по порядку.

Перезапустите iptables командой:

  service iptables restart

Запустите сервис ulogd :

  service ulogd start

Nulog

Перейдите в каталог /var/www/nulog/include/ и подправьте файл
config.php установив опции:

        $lang="en"
        $db_user="laforge"
        $db_pwd="changeme"

Перейдите в каталог /etc/httpd/conf.d создайте там файл nulog.conf
следующего содержания:

        Alias /nulog "/var/www/nulog"
        <Directory "/var/www/nulog">
           Options None
           AllowOverride None
           Order deny,allow
           Deny from all
           Allow from 127.0.0.1
           Allow from IP_ADDR
        </Directory>

Вместо IP_ADDR подставьте ip адрес с которого будет разрешено
просматривать статистику работы Nulog.

Перезапустите apache

  service httpd restart

Теперь нам необходимо убедиться, что все работает для этого в командной
строке наберите

  telnet 127.0.0.1 22

тем самым мы создадим событие которое должно попасть в БД ulogd.

Наберите в броузере http://IP_ADDR/nulog/ вместо IP_ADDR подставьте
ip адрес или доменное имя компьютера.

Может распространяться свободно при указании авторства.



























Смотрите также:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]