Você está na página 1de 5

(/)

Koratsuki (http://blog.desdelinux.net/author/koratsuki/)
Hace 1 ao
Redes/Servidores (http://blog.desdelinux.net/redes-
servidores/), Tutoriales/Manuales/Tips (http://blog.desdelinux.net
/tutoriales/)
4120
7
(http://blog.desdelinux.net
/logueando-
toda-actividad-
con-iptables/#comments)
Logueando toda actividad con iptables
(http://blog.desdelinux.net/logueando-
toda-actividad-con-iptables/)
(http://blog.desdelinux.net/logueando-toda-actividad-con-iptables/firewall/)
Iptables (http://es.wikipedia.org/wiki/Netfilter/iptables), por default tiene la regla filter en modo Aceptar
todo, es decir, que deja entrar y salir toda conexin desde o hacia nuestra PC, pero, Y si deseamos
loguear toda la info de conexiones hechas a nuestros servers o PCs?


Nota: El procedimiento que ahora ejecutar es vlido 100% en distribuciones
Debian (http://www.debian.org)/Debian-based (http://www.debian.org
/misc/children-distros), por lo que si usted usa Slackware
(http://www.slackware.com/), Fedora (http://fedoraproject.org/es/), CentOS
(http://www.centos.org/), OpenSuSe (http://www.opensuse.org/), puede que el
procedimiento no sea el mismo, recomendamos leer y entender el sistema de
logueo de su distribucin antes de aplicar lo que ms adelante se expone. Tambin
existe la posibilidad de instalarse rsyslog en su distribucin, si est disponible en
los repositorios, aunque en este tutorial, se explica tambin syslog al final.
Todo bien hasta ahora, pero, Dnde vamos a loguear? Fcil, en el archivo /var/log/firewall
/iptables.log, que no existe, hasta que lo creemos nosotros mismos
1- Debemos crear el archivo iptables.log dentro de la carpeta /var/log/firewall que debemos crearla,
pues tampoco existe.
mkdir -p /var/log/firewall/
touch /var/log/firewall/iptables.log
2- Permisos, muy importante
chmod 600 /var/log/firewall/iptables.log
chown root:adm /var/log/firewall/iptables.log
3- Rsyslog, el demonio de logueo de Debian, lee la configuracin desde /etc/rsyslog.d, por lo que
debemos crear un archivo que yo llamar firewall.conf desde el cual rsyslog, pueda interpretar lo que
queremos hacer.
touch /etc/rsyslog.d/firewall.conf
Y dentro le dejamos caer suavemente el siguiente contenido:
:msg, contains, iptables: -/var/log/firewall/iptables.log
& ~
Ni tengo ni la menor idea, qu hacen este par de lneas?
La primera lnea chequea los datos logueados buscando la cadena iptables: y lo aade al archivo
/var/log/firewall/iptables.log
La segunda, detiene el procesamiento de la informacin logueada con el patrn anterior para que no siga
siendo enviada a /var/log/messages.
4- Rotando el fichero de logs, con logrotate (http://www.thegeekstuff.com/2010/07/logrotate-examples/).
Debemos crear dentro de /etc/logrotate.d/ el archivo firewall el cual contendr el siguiente contenido:
Redes Sociales
Un montn de lectores
Va RSS (http://feeds.feedburner.com/usemoslinux)
o E-mail (http://feedburner.google.com
/fb/a/mailverify?uri=UsemosLinux)
11.329 seguidores
Sguenos en Twitter (http://twitter.com
/usemoslinux)
9.015 seguidores
Sguenos en Facebook (https://www.facebook.com
/pages/Usemos-Linux/347354768534?ref=hl)
18.211 seguidores
Sguenos en Google+ (https://plus.google.com
/118183294036119965234/posts)
Acceso
Recordarme Acceder
Registrarse (http://blog.desdelinux.net
/wp-login.php?action=register) | Has perdido tu
contrasea? (http://blog.desdelinux.net
/wp-login.php?action=lostpassword)
Comentarios
recientes
Seba en Cmo quitar el ruido en los
videos de tus screencasts
(http://blog.desdelinux.net/como-quitar-
el-ruido-en-los-videos-de-tus-screencasts
/#comment-84983)
Seba en Cambiar el User Agent de
Chrome mediante user agent switcher
(http://blog.desdelinux.net/cambiar-el-user-
agent-de-chrome-mediante-user-agent-
switcher/#comment-84982)
Seba en Arch Linux: Gua bsica de
instalacin actualizada.
(http://blog.desdelinux.net/arch-linux-
guia-basica-de-instalacion-actualizada
/#comment-84981)
Heber en Nueva forma de comentar en
DesdeLinux (http://blog.desdelinux.net
/nueva-forma-de-comentar-en-desdelinux
/#comment-84979)
the pixie en Cambiar el User Agent de
Chrome mediante user agent switcher
(http://blog.desdelinux.net/cambiar-el-user-
agent-de-chrome-mediante-user-agent-
switcher/#comment-84976)
Categoras
Elegir categora
Archivos
Logueando toda actividad con iptables http://blog.desdelinux.net/logueando-toda-actividad-con-iptables/
1 de 5 30/08/2013 11:22 a.m.
Debian (http://blog.desdelinux.net/tag/debian/), firewall
(http://blog.desdelinux.net/tag/firewall/), iptables (http://blog.desdelinux.net
/tag/iptables/), Kernel (http://blog.desdelinux.net/tag/kernel/),
(http://www.facebook.com
/sharer
/var/log/firewall/iptables.log
{
rotate 7
daily
size 10M
dateext
missingok
create 600 root adm
notifempty
compress
delaycompress
postrotate
invoke-rc.d rsyslog reload > /dev/null
endscript
}
Para as poder rotar los logs 7 veces antes de borrarlos, 1 vez al da, tamao mximo del log 10MB,
comprimido, con fecha, sin dar error si el log no existe, creado como root.
5- Reiniciar, como todo final feliz xD, el demonio rsyslog:
/etc/init.d/rsyslog restart
Cmo probar que todo eso est trabajando?
Probemos con SSH.
Instalar OpenSSH (en caso de que no lo tengan instalado):
apt-get install openssh-server
Antes de continuar, debemos ejecutar como root en una consola:
iptables -A INPUT -p tcp --dport 22 --syn -j LOG --log-prefix "iptables " --log-le!el "
Ejecutando esta sentencia iptables loguear info suficiente para demostrar que lo que hemos hecho no es
en vano. En esta sentencia le decimos a iptables que logue toda informacin que le llegue por el puerto
22. Para probar con otros servicios, solamente cambiar el nmero del puerto, como 3306 para MySQL,
por slo citar un ejemplo, si desea ms informacin, lea este tutorial muy bien documentado
(http://www.thegeekstuff.com/2011/06/iptables-rules-examples/) y basado en ejemplos tipicos de las
configuraciones ms usadas.
SSH usa el puerto 22 por default, por lo que haremos la prueba con l. Teniendo instalado openssh, nos
conectamos a l.
ssh pepe@servidor-de-prueba
Para ver los logs, con un tail resuelves ese problema:
tail -f /var/log/firewall/iptables.log
Iptables, en este ejemplo, loguea todo, da, hora, ip, mac, etc, lo que lo hace genial para monitorear
nuestros servers. Una pequea ayuda que nunca est de ms.
Ahora, tomando nota de que usamos otra distro, como deca al principio, generalmente se usa rsyslog, o
algn similar. Si tu distro usa syslog, para realizar el mismo ejercicio debemos editar/modificar
ligeramente syslog.conf
nano /etc/syslog.conf
Aadir y guardar la siguiente lnea:
kern.warning /var/log/firewall/iptables.log
Y despus, ya sabes, el final feliz:
/etc/init.d/sysklogd restart
Resultado: el mismo.
Eso es todo por ahora, en prximos posts, seguiremos jugando con iptables.
Referencias:
Force iptables to log to a different file (http://www.cyberciti.biz/tips/force-iptables-to-log-messages-
to-a-different-log-file.html)
Log iptables to a separate file with rsyslog (http://blog.shadypixel.com/log-iptables-messages-
to-a-separate-file-with-rsyslog/)
Iptables configuration tutorial on Fedora/RHEL systems (http://www.cyberciti.biz/faq/rhel-fedorta-linux-
iptables-firewall-configuration-tutorial/)
Elegir mes
Logueando toda actividad con iptables http://blog.desdelinux.net/logueando-toda-actividad-con-iptables/
2 de 5 30/08/2013 11:22 a.m.
Personalizacin (http://blog.desdelinux.net/tag/personalizacion/), Tips
(http://blog.desdelinux.net/tag/tips/), Tutoriales (http://blog.desdelinux.net
/tag/tutoriales-2/), Ubuntu (http://blog.desdelinux.net/tag/ubuntu/)
/sharer.php?u=http:
//blog.desdelinux.net
/logueando-
toda-actividad-
con-iptables/)
(http://twitter.com
/home?status=http:
//blog.desdelinux.net
/logueando-
toda-actividad-
con-iptables/)
(https://plus.google.com
/share?url=http:
//blog.desdelinux.net
/logueando-
toda-actividad-
con-iptables/)
Koratsuki: Nadando en aguas linuxeras desde el
2001-2002 con un RedHat 7.2. He pasado por
muchas distros, pero me mantengo entre Slackware
y Debian. Amo la lnea de comandos, el software libre y toda
cultura geek asociada. Friky deathmetalero, el primero
siempre en ayudar o dar ideas, programador de PHP y
alguito de Python. Linux user: 445535. Actualmente Tcnico
en Electrnica y Administrador de Red.
+ Artculos de este autor
(http://blog.desdelinux.net
/author/koratsuki/)
lector
FerreryGuardia | Hace 1 ao (http://blog.desdelinux.net/logueando-toda-actividad-
con-iptables/#comment-19695) |
Cojonudo este mini-manual para BOFH que estais haciendo poco a poco
Responder (/logueando-toda-actividad-con-iptables/?replytocom=19695#respond)
autor
Koratsuki (http://koratsuki27.wordpress.com/) | Hace 1 ao (http://blog.desdelinux.net
/logueando-toda-actividad-con-iptables/#comment-19699) |
Gracias, poco a poco ir dando detalles y datos de iptables, que yo tuve que conocer por mi
trabajo, que a veces necesitamos y estn muy mal explicados en Internet, todo por el
usuario xD
Responder (/logueando-toda-actividad-con-iptables/?replytocom=19699#respond)
admin
KZKG^Gaara (http://desdelinux.net) | Hace 1 ao (http://blog.desdelinux.net/logueando-
toda-actividad-con-iptables/#comment-19701) |
Aprovecho para darte la bienvenida socio
De veras tienes MUCHO que aportar, tienes conocimientos realmente avanzados de
redes, sistemas, firewalls etc, as que ser (ya soy) uno de los tantos lectores que
tendrs jajaja.
Saludos y bueno ya sabes, para lo que haga falta
Responder (/logueando-toda-actividad-con-iptables/?replytocom=19701#respond)
lector
isar | Hace 1 ao (http://blog.desdelinux.net/logueando-toda-actividad-con-iptables
/#comment-19715) |
Espero con ansias esos artculos ^^
Responder (/logueando-toda-actividad-con-iptables/?replytocom=19715#respond)
usuario
Hugo | Hace 1 ao (http://blog.desdelinux.net/logueando-toda-actividad-con-iptables
/#comment-19889) |
Anda Koratsuki, no saba que frecuentabas este blog.
Por cierto, otra variante de registrar la actividad del cortafuegos es mediante el paquete
ulogd, que esta hecho por la gente del proyecto netfilter para facilitar la separacin de este
tipo de trazas (permite guardarlas de diferentes maneras). Es el acercamiento que suelo usar
Artculos relacionados:
Mantn actualizado Chromium en Debian y Ubuntu (http://blog.desdelinux.net/manten-actualizado-
chromium-en-debian-y-ubuntu/)
Por qu uso Debian en mi escritorio? (http://blog.desdelinux.net/por-que-uso-debian-en-mi-
escritorio/)
La situacin de Ubuntu no mejora segn Distrowatch (http://blog.desdelinux.net/la-situacion-de-ubuntu-
no-mejora-segun-distrowatch/)
Obtn tu nmero de usuario Debian (http://blog.desdelinux.net/obten-tu-numero-de-usuario-debian/)
Infinality: Mejora las tipografas en Debian (http://blog.desdelinux.net/infinality-mejora-las-tipografias-
en-debian/)
1.
2.
3.
Logueando toda actividad con iptables http://blog.desdelinux.net/logueando-toda-actividad-con-iptables/
3 de 5 30/08/2013 11:22 a.m.
yo. Utilizarlo es fcil, por ejemplo:
iptables -A INPUT -p #dp -$ $#ltiport % --ports &'()*)+ -$ state --state N,- -j ULOG --#log-prefix ".olicit#d U/P d#dosa"
Responder (/logueando-toda-actividad-con-iptables/?replytocom=19889#respond)
autor
Koratsuki (http://koratsuki27.wordpress.com/) | Hace 1 ao (http://blog.desdelinux.net
/logueando-toda-actividad-con-iptables/#comment-19919) |
Tendr que darle un F5 al post, me cuadra la forma de trabajar de Ulogd, hasta de MySQL
loguea el tipo .
Responder (/logueando-toda-actividad-con-iptables/?replytocom=19919#respond)
lector
msx (http://gravatar.com/msx738) | Hace 1 ao (http://blog.desdelinux.net/logueando-
toda-actividad-con-iptables/#comment-22361) |
Buen post, keep it up.
Responder (/logueando-toda-actividad-con-iptables/?replytocom=22361#respond)
4.
5.
Dejar tu comentario
Tu direccin de correo electrnico no ser publicada.
Nombre [Requerido]
Correo [Requerido]
Website
Comentario
Puedes usar las siguientes etiquetas y atributos HTML (HyperText Markup Language):
0a 1ref2"" title2""3 0abbr title2""3 0acrony$ title2""3 0b3 0bloc45#ote cite2""3 0cite3 0code3 0del dateti$e2""3 0e$3 0i3 05 cite2""3 0stri4e3 0strong3
Publicar comentario
Notificarme los nuevos comentarios por correo electrnico. Tambin puedes suscribirte
(http://blog.desdelinux.net/comment-subscriptions?srp=10905&sra=s) sin comentar.
Recibir un email con los siguientes comentarios a esta entrada.
Recibir un email con cada nuevo post.
Este es un nuevo proyecto que surgi de la
fusin de DesdeLinux y UsemosLinux. Hoy da
somos uno de los blogs ms populares de habla
hispana sobre Linux y Software Libre. En
nuestras pginas vas a encontrar tutoriales,
reseas y artculos de calidad sin anuncios
molestos. Si quieres participar o sugerirnos tu
idea, entrate (http://desdelinux.net
/ftp/Guia_Redaccion.pdf) cmo hacerlo.
Suscrbete por correo
Enviar
Acerca de nosotros
Sguenos en Facebook
Usemos Linux
Me gusta
A 9 015 personas les gusta Usemos Linux.
Plug-in social de Facebook
DesdeLinux se encuentra felizmente hosteado en GNUTransfer (http://gnutransfer.com/)
Logueando toda actividad con iptables http://blog.desdelinux.net/logueando-toda-actividad-con-iptables/
4 de 5 30/08/2013 11:22 a.m.
Logueando toda actividad con iptables http://blog.desdelinux.net/logueando-toda-actividad-con-iptables/
5 de 5 30/08/2013 11:22 a.m.

Você também pode gostar