¿Requieres de una instalación o configuración de Linux o sus servicios?
¿Un desarrollo WEB empresarial a la medida?
¿Un curso o capacitación a la medida?
Revisa el sitio de SERVICIOS de LinuxTotal


Crear un log propio para iptables 

Copyright © 2005-2017 LinuxTotal.com.mx
Se concede permiso para copiar, distribuir y/o modificar este documento siempre y cuando se cite al autor y la fuente de linuxtotal.com.mx y según los términos de la GNU Free Documentation License, Versión 1.2 o cualquiera posterior publicada por la Free Software Foundation.

Autor: Sergio González D.  

Prácticamente todos los mensajes generados por el sistema se guardan por default en /var/log/messages, esto es útil y necesario, pero de una manera muy sencilla podemos hacer que los eventos o mensajes generados por iptables se guardan en su propio archivo de bitacora (log).


Editar /etc/syslog.conf

En este archivo de configuración se indica el modo en que los mensajes del sistema son bitacorizados a través de la utileria syslogd que se instala y configura por default en todos los sistemas GNU/Linux y rara vez el usuario del sistema la modifica, pero en esta ocasión lo abriremos (con tu editor favorito) y haremos lo siguiente:

#> vi /etc/syslog.conf

kern.warning          /var/log/iptables.log

/etc/syslog.conf se compone de varias líneas y cada línea es una regla que indica como bitacorizar los mensajes del sistema. Cada regla tiene dos campos, tal como el que añadimos al final. El primer campo (kern.warning) es el "selector" que se compone de dos partes separadas por el punto: facility.priority, 'facility' que en este caso es kern (kernel) representa el subsistema que produce el mensaje y 'priority' define la severidad del mensaje. Estas pueden ser en orden ascendente: debug, info, notice, warning, error, crit, alert, emerg.

Entonces 'warning' es el nivel 4 de prioridad e indica entonces que todos los mensajes provenientes del kernel que tengan un nivel de prioridad 4 o mayor se bitacorizarán en el archivo /var/log/iptables.log y se ignoran los de debug, info y notice que son del 3 hacía abajo y que generalmente son irrelevantes.

Es importante aclarar que los mensajes del sistema también seguirán guardándose en /var/log/messages y otros que se tengan definidos en /etc/syslog.conf ya que lo que hicimos fue 'añadir' una línea más y no modificamos nada de lo que ya estaba ahí.


Reiniciando el servicio syslog

Como cualquier otro programa servicio hay que reiniciarlo para que los cambios en el archivo de configuración surtan efecto.

#> /etc/rc.d/init.d/syslog restart   
#> /etc/init.d/syslog restart

#> service syslog restart

Modificando el firewall

Si por ejemplo quieres bitacorizar todo lo que sea rechazado en la cadena INPUT:

iptables -A INPUT -j LOG -log--level 4
iptables -A INPUT DROP

Es decir, generalmente se usará el targer LOG antes de rechazar los paquetes que no queramos, y como notarás en el ejemplo usamos la opción -log--level 4 que activará syslog solo cuando el mensaje sea del tipo warning (4) o superior.

Un ejemplo más interesante es el siguiente:

iptables -A INPUT -s 192.168.10.10 -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j LOG --log-prefix 'INTENTO DE ACCESO A SSH ' --log-level 4
iptables -A INPUT -p tcp -m tcp --dport 22 -j REJECT

En este caso, la primera regla está aceptando a la ip 192.168.10.10, pero si es cualquier otra ip, entonces se bitacoriza el evento con el mensaje 'INTENTO DE ACCESO A SSH ' en /var/log/iptables.log

Esto es mucho más útil ya que posteriormente con un simple grep podremos observar solo los mensajes de este tipo:

#> grep 'INTENTO DE ACCESO A SSH' /var/log/iptables.log
Apr 13 10:43:39 equipolinux kernel: INTENTO DE ACCESO A SSH IN=eth1 OUT= MAC=00:50:fc:89:63:39:00:16:e6:82:cd:8a:08:00 SRC=192.168.10.16 DST=192.168.10.100 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=4601 DF PROTO=TCP SPT=1138 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0
Apr 13 10:44:10 equipolinux kernel: INTENTO DE ACCESO A SSH IN=eth1 OUT= MAC=00:50:fc:89:63:39:00:16:e6:82:cd:8a:08:00 SRC=192.168.10.16 DST=192.168.10.100 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=4602 DF PROTO=TCP SPT=1138 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0

Se puede apreciar que hay dos intentos de acceder al servidor ssh del equipo linux (192.168.10.100) desde el equipo 192.168.10.16 y con tan solo algunos segundos de diferencia, esto ya es sospechoso y habría que investigar quien está intentando conectarse y porque. (Claro estando en una LAN que controlemos)

Pues ahí lo tienes, puedes agregar a tus reglas de iptables todos los targets LOG que consideres necesarios y revisarlos más utilmente en un archivo por separado. Espero te sea útil.



¿Requieres de una instalación o configuración de Linux o sus servicios?
¿Un desarrollo WEB empresarial a la medida?
¿Un curso o capacitación a la medida?
Revisa el sitio de SERVICIOS de LinuxTotal

LinuxTotal en:

Si encuentras útil la información que proveé LinuxTotal, considera realizar un donativo que estimule a seguir proporcionando contenido de calidad y utilidad. Gracias.


Dona a través de paypal::


O a través de bitcoins:


14TNQv5wM3xkSv65gHGQ6s6f8yTZuFTohE
Más artículos de LinuxTotal

EL espacio disponible en disco se determina con este comando built-in del sistema operativo Linux, df.....


En Linux hay diversas herramientas para empaquetar y comprimir archivos, tomando en cuenta que empaquetar es juntar dos o más arc....


Ya son varios los lectores que me preguntan que CMS (content management system) utilizo para este sitio. Ejemplos de CMS son mambo....


He actualizado con varios nuevos comandos la popular guía de LinuxTotal.com.mx, asi como he añadido enlaces en los comandos en l....


mysqldump es una utilieria cliente de MySQL que te permite respaldar bases de datos. Aprende por ejemplos como utilizarlo. Puedes....


Si acostumbras trabajar en la línea de comandos de Linux, muy posiblemente uses el shell bash (Bourne Again Shell, derivado del b....


El comando find de Linux es extremadamente potente. No hay nada mejor para hacer todo tipo de búsquedas de archivos y carpetas qu....


Este es un pequeño y útil tip que te permitirá crear PDF's a partir de páginas del manual. Cuando deseas ver la ayuda de un co....


El muy usado comando man, que lo encuentras en cualquier distribucción de Linux, te permite leer las páginas del manual de otros....


En este archivo de configuración se indica el modo en que los mensajes del sistema son bitacorizados a través de la utileria sys....



Copyright © LinuxTotal.com.mx 2006-2017
info@linuxtotal.com.mx · linuxtotal.com.mx@gmail.com