Configurando el registro de eventos con Shorewall y ulogd Debian Squeeze

En la configuracion predeterminada de shorewall, todos los eventos de conexiones rechazados o permitidos son registrados en el archivo de log /var/log/messages, esto significa que se mezclan mensajes generales del sistema, como mensajes del kernel u otros servicios.
Para diferenciar los eventos del firewall, se recomienda instalar el programa ulogd, el cual se encarga de recibir los mensajes del firewall, mejor dicho, los mensajes de registro de LOG del firewall y los manda a un archivo individual, por ejemplo: /var/log/firewall.log el cual será mantenido de forma independiente a los logs del demonio syslog.

Como deseamos enviar los registros log's de iptables/netfilter a un archivo independiente y no usar el sistema syslog instalaremos el servicio ulogd para dirigir los mensajes logs al archivo /var/log/firewall.log. 

Nota: Ya el shorewall debe estar instalado y configurado 

Instalamos ulogd: 
# aptitude install  ulogd 

Editamos:
# vim /etc/ulogd.conf 

Cambiamos:
[LOGEMU]
file="/var/log/ulog/syslogemu.log" 

Por:
[LOGEMU]
file="/var/log/firewall.log" 

Reinicimos el demonio ulogd para que tome los cambios 
# invoke-rc.d ulogd restart
o
# /etc/init.d/ulogd restart 

Editamos:
# vim /etc/shorewall/shorewall.conf 

Cambiamos:
LOGFILE=/var/log/messages
MACLIST_LOG_LEVEL=info
TCP_FLAGS_LOG_LEVEL=info
SMURF_LOG_LEVEL=info 

Por:
LOGFILE=/var/log/firewall.log
MACLIST_LOG_LEVEL=$LOG
TCP_FLAGS_LOG_LEVEL=$LOG
SMURF_LOG_LEVEL=$LOG 

Cambiamos o Creamos:
# vim /etc/shorewall/params
 LOG=ULOG 

Editamos:
# vim /etc/shorewall/policy

Cambiamos, todos los info por  $LOG algo parecido ha:
$FW            net            DROP            $LOG
net              all             DROP            $LOG
all               all             REJECT         $LOG

Reiniciamos el shorewall para que tome los cambios
# shorewall restart

Se pueden ver los registros con:
# tail -f /var/log/firewall.log 

Ahora debemos de crear o personalizar el archivo de logrotate de ulogd para que los logs tanto del proceso ulogd /var/log/ulog/ulogd.log y del firewall /var/log/firewall.log sean rotados periodicamente. 

Edite el archivo /etc/logrotate.d/ulogd par que quede de la siguiente forma: 
/var/log/ulog/ulogd.log /var/log/firewall.log  {
    missingok
    sharedscripts
    create 640 root adm
    postrotate
    /etc/init.d/ulogd reload
    endscript
} 

Reiniciamos el demonio rsyslog 
# /etc/init.d/rsyslog restart

fuente:
http://tuxjm.net/docs/Configuracion_Firewall_Shorewall_de_dos_interfaces_con_NAT_en_Ubuntu_Server/
Enviar entrada por correo electrónico

Comentarios

  1. mariposaokupa10:36:00 a. m.

    Muy bueno!
    Gracias por la información!

    Atte,
    Alejandro Martín
    http://madrid.guifi.net

    ResponderEliminar

Publicar un comentario

Entradas populares