1 Configurar les regles d’iptables per registrar els paquets bloquejats
Primer, afegeix les regles a iptables per registrar els paquets bloquejats en les cadenes INPUT, OUTPUT i FORWARD.
Afegeix les següents regles d’iptables per registrar els paquets bloquejats:
sudo iptables -A OUTPUT -j LOG –log-prefix “FW_OUTPUT_BLOCK: ” –log-level 4
sudo iptables -A INPUT -j LOG –log-prefix “FW_INPUT_BLOCK: ” –log-level 4
sudo iptables -A FORWARD -j LOG –log-prefix “FW_FORWARD_BLOCK: ” –log-level 4
Amb aquestes regles, cada vegada que un paquet sigui bloquejat, es generarà un log amb el prefix FW_INPUT_BLOCK, FW_OUTPUT_BLOCK o FW_FORWARD_BLOCK.
2️Configurar rsyslog per desar els logs en un fitxer dedicat
2.1 Obrir el fitxer de configuració de rsyslog
Edita el fitxer de configuració de rsyslog per redirigir els logs dels paquets bloquejats a un fitxer dedicat, per exemple /var/log/iptables.log:
sudo vim /etc/rsyslog.conf
2.2 Afegir la configuració per desar els logs d’iptables
Afegeix aquestes línies al final del fitxer /etc/rsyslog.conf:
:msg, contains, “FW_” /var/log/iptables.log
& stop
Això farà que qualsevol missatge que contingui “FW_” (que és el prefix que hem afegit a les regles d’iptables) es desi al fitxer /var/log/iptables.log.
2.3 Reiniciar rsyslog
Després d’editar el fitxer, has de reiniciar rsyslog perquè els canvis entrin en vigor:
sudo systemctl restart rsyslog
3️Configurar logrotate per gestionar els logs
Per evitar que els fitxers de logs creixin massa, configura logrotate perquè els giri de manera periòdica i els comprimeixi.
3.1 Crear un fitxer de configuració per a logrotate
Crea un fitxer de configuració per als logs d’iptables:
sudo vi /etc/logrotate.d/iptables
3.2 Afegir la configuració de rotació de logs
Afegeix el següent contingut per a rotar els logs setmanalment i mantenir 4 còpies comprimides:
/var/log/iptables.log {
weekly
rotate 4
missingok
notifempty
compress
delaycompress
postrotate
systemctl restart rsyslog
endscript
}
Aquesta configuració fa el següent:
- weekly: Gira els logs setmanalment.
- rotate 4: Manté 4 còpies antigues dels logs.
- missingok: Si el fitxer de logs no existeix, no es genera cap error.
- notifempty: No gira el log si està buit.
- compress: Comprimeix els logs antics per estalviar espai.
- delaycompress: Comprimeix els logs antics a partir del segon cicle de rotació.
- postrotate: Després de girar el log, reinicia rsyslog per assegurar que es segueix escrivint en el nou fitxer de log.
Desa el fitxer (CTRL + X, Y, Enter) i surt.
3.3 Provar la configuració de logrotate
Per assegurar que la configuració de logrotate funciona correctament, pots provar-la manualment:
sudo logrotate -d /etc/logrotate.d/iptables
4 Comprovació dels Logs
Per comprovar que els logs s’estan generant correctament, utilitza tail per veure el contingut del fitxer de logs en temps real:
sudo tail -f /var/log/iptables.log
Ara, quan es produeixi un paquet bloquejat, es mostrarà al fitxer /var/log/iptables.log.
5️Provar que tot funciona correctament
Per comprovar que tot funciona correctament:
- Prova amb un paquet bloquejat: Fes un ping a la màquina des d’una altra màquina (o a l’inrevés, depenent de les teves regles d’iptables).
- Comprova els logs: Després de fer la prova, comprova el fitxer de logs:
sudo tail -f /var/log/iptables.log