Поиск (ключи):    ПРОГРАММЫ СТАТЬИ СОВЕТЫ ФОРУМ   WIKI НОВОСТИ (+) MAN'ы ДОКУМЕНТАЦИЯ

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Ключевые слова: iptables, ulog, linux, traffic,  (найти похожие документы)

From: Denis Frolov <http://www.redhat-club.org>;
Date: Mon, 22 Sep 2008 17:02:14 +0000 (UTC)
Subject: Настройка пакета Ulogd и Nulog для регистрации событий от пакетного фильтра iptables

Оригинал: http://www.redhat-club.org/Articles/DenisFrolov/UlogdNulogdConfiguration


Введение
--------

   Многие из вас уже знакомы с такой полезной опцией пакетного фильтра
   iptables как LOG которая позволяет регистрировать определенные пакеты
   проходящие через него.

   В данной статье я опишу полезное дополнение к iptables под названием
   Ulogd с помощью которого значительно расширяются возможности по
   регистрации пакетов проходящих через пакетный фильтр.

   Также в данной статье рассмотрена настройка WEB интерфейса к Ulogd под
   названием Nulog.

   Итак приступим.

   Для совместной работы ulogd в связке с nulog нам потребуется
   установленный mysql сервер, http-сервер apache с поддержкой php.

   Все это можно найти в любом дистрибутиве Linux.


Установка

   Пакет ulogd включен в состав дистрибутива ASP Linux 11.

   Если вы используете другую операционную систему Linux например RHEL4,
   то вам необходимо взять srpm пакет в ftp.asplinux.ru и пересобрать из
   него rpm.

   Пакет Nulog можно скачать с http://www.inl.fr/old/Nulog.html
   Последняя версия доступная на момент написания данной статьи
   nulog-1.2.1.

   Установим необходимые пакеты :

         rpm -ihv ulogd-1.23-2.i386.rpm
         rpm -ihv ulogd-mysql-1.23-2.i386.rpm


   Распакуйте содержимое архива nulog в каталог /var/www/nulog


Настройка

Ulogd

   Перейдите в каталог /etc/ и отредактируйте файл ulogd.conf

   Нас интересуют следующие строки:

   Обязательно включите следующий плагин.

        plugin="/usr/lib/ulogd/ulogd_MYSQL.so"


   И отредактируйте следующий раздел:

        [MYSQL]
        table="ulog"
        pass="changeme"
        user="laforge"
        db="ulogd"
        host="localhost"


   В дальнейшем описании я буду использовать значения из раздела [MYSQL]
   которые установлены по умолчанию.

   Запустите сервер MySQL командой:

        service mysqld start


   Войдите в терминал MySQL командой

        mysql


   вы увидите приглашение на ввод команд:

   Нам необходимо создать базу данных которую вы указали в разделе [MYSQL]
   сделать это можно выполнив:

        >create database ulogd;


   Вы увидите вывод:

        Query OK, 1 row affected (0.00 sec)


   Значит база данных успешно создана. Также необходимо дать права на эту
   базу пользователю laforge, разрешить пользователю входить только с
   машины localhost, и указать пароль для пользователя laforge=changeme.

        >grant all on ulogd.* to laforge@localhost identified by 'changeme';
         Query OK, 0 rows affected (0.03 sec)


   Теперь выйдите из интерфейса mysql выполнив:

        >\q


   Перейдите в каталог /var/www/nulog/scripts/ в данном каталоге есть файл
   ulogd.mysqldump который содержит поля базы данных. выполните команду:

        mysql -u laforge ulogd -p < ulogd.mysqldump


   Вас попросят ввести пароль. Введите changeme.

   Теперь вам необходимо указать какие события от пакетного фильтра на
   необходимо регистрировать.

   Для примера мы будем регистрировать попытки присоединиться к 22 порту
   интерфейса 127.0.0.1 :)

   Перейдите в каталог /etc/sysconfig и отредактируйте файл iptables.


        *filter
        :INPUT DROP [0:0]
        :FORWARD DROP [0:0]
        :OUTPUT DROP [0:0]
        -A INPUT -i lo -p tcp --dport 22  -j ULOG
        -A INPUT -i lo -j ACCEPT
        -A OUTPUT -o lo -j ACCEPT
        # Далее следуют остальные правила iptables.


   В этот моменте есть одна тонкость: используйте действия ULOG до того
   как делаете разрешающие действия, т.к правила iptables обрабатываются
   по порядку.

   Перезапустите iptables командой:

        service iptables restart


   Запустите сервис ulogd :

        service ulogd start


Nulog

   Перейдите в каталог /var/www/nulog/include/ и подправьте файл
   config.php установив опции:

        $lang="en"
        $db_user="laforge"
        $db_pwd="changeme"


   Перейдите в каталог /etc/httpd/conf.d создайте там файл nulog.conf
   следующего содержания:

        Alias /nulog "/var/www/nulog"
        <Directory "/var/www/nulog">
           Options None
           AllowOverride None
           Order deny,allow
           Deny from all
           Allow from 127.0.0.1
           Allow from IP_ADDR
        </Directory>


   Вместо IP_ADDR подставьте ip адрес с которого будет разрешено
   просматривать статистику работы Nulog.

   Перезапустите apache

        service httpd restart


   Теперь нам необходимо убедиться, что все работает для этого в командной
   строке наберите

        telnet 127.0.0.1 22


   тем самым мы создадим событие которое должно попасть в БД ulogd.

   Наберите в броузере http://IP_ADDR/nulog/ вместо IP_ADDR подставьте
   ip адрес или доменное имя компьютера.

   Может распространяться свободно при указании авторства.

   Автор: Фролов Денис.

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

АКЦИЯ! ПОДПИШИСЬ на журнал Linux Format до 31 января 2012 года и выиграй СУПЕРПРИЗ! Журнал "Linux Format" (Линукс Формат)- Единственный в России и странах СНГ журнал на русском языке, посвящённый Linux и свободному ПО. Журнал для IT-директоров, IT-менеджеров, программистов, системных администраторов, учителей школ и преподавателей ВУЗов и всех пользователей ПК. В каждом выпуске: Новости индустрии OpenSource, обзоры новинок свободного ПО, обучающие и методические статьи. Каждый, кто оформит подписку, получает бонус- объёмные наклейки на системный блок и подарки: с одним из первых выпусков журнала в 2012 году- диск с архивом номеров за 2005-2011 г.г. и ежемесячно электронную версию журнала в pdf-формате. Подробнее о проведении акции вы можете прочитать на странице сайта.