Configurando el registro de eventos con Shorewall y ulogd Debian Squeeze
En la configuracion predeterminada de shorewall, todos los eventos de conexiones rechazados o permitidos son registrados en el archivo de log /var/log/messages, esto significa que se mezclan mensajes generales del sistema, como mensajes del kernel u otros servicios.
Para diferenciar los eventos del firewall, se recomienda instalar el programa ulogd, el cual se encarga de recibir los mensajes del firewall, mejor dicho, los mensajes de registro de LOG del firewall y los manda a un archivo individual, por ejemplo: /var/log/firewall.log el cual será mantenido de forma independiente a los logs del demonio syslog.
Como deseamos enviar los registros log's de iptables/netfilter a un archivo independiente y no usar el sistema syslog instalaremos el servicio ulogd para dirigir los mensajes logs al archivo /var/log/firewall.log.
Nota: Ya el shorewall debe estar instalado y configurado
Editamos:
Como deseamos enviar los registros log's de iptables/netfilter a un archivo independiente y no usar el sistema syslog instalaremos el servicio ulogd para dirigir los mensajes logs al archivo /var/log/firewall.log.
Nota: Ya el shorewall debe estar instalado y configurado
Instalamos ulogd:
# aptitude install ulogd Editamos:
# vim /etc/ulogd.conf
Cambiamos:
[LOGEMU]
file="/var/log/ulog/syslogemu.log"
Por:
[LOGEMU]
file="/var/log/firewall.log"
Reinicimos el demonio ulogd para que tome los cambios
# invoke-rc.d ulogd restart
o
# /etc/init.d/ulogd restart
Editamos:
# vim /etc/shorewall/shorewall.conf
Cambiamos:
LOGFILE=/var/log/messages
MACLIST_LOG_LEVEL=info
TCP_FLAGS_LOG_LEVEL=info
SMURF_LOG_LEVEL=info
Por:
LOGFILE=/var/log/firewall.log
MACLIST_LOG_LEVEL=$LOG
TCP_FLAGS_LOG_LEVEL=$LOG
SMURF_LOG_LEVEL=$LOG
Cambiamos o Creamos:
# vim /etc/shorewall/params
LOG=ULOG
Editamos:
# vim /etc/shorewall/policy
Cambiamos, todos los info por $LOG algo parecido ha:
$FW net DROP $LOG
net all DROP $LOG
all all REJECT $LOG
Reiniciamos el shorewall para que tome los cambios
# shorewall restart
Se pueden ver los registros con:
# tail -f /var/log/firewall.log Ahora debemos de crear o personalizar el archivo de logrotate de ulogd para que los logs tanto del proceso ulogd /var/log/ulog/ulogd.log y del firewall /var/log/firewall.log sean rotados periodicamente.
Edite el archivo /etc/logrotate.d/ulogd par que quede de la siguiente forma:
/var/log/ulog/ulogd.log /var/log/firewall.log {
missingok
sharedscripts
create 640 root adm
postrotate
/etc/init.d/ulogd reload
endscript
}
Reiniciamos el demonio rsyslog
# /etc/init.d/rsyslog restart
fuente:
http://tuxjm.net/docs/Configuracion_Firewall_Shorewall_de_dos_interfaces_con_NAT_en_Ubuntu_Server/
Muy bueno!
ResponderEliminarGracias por la información!
Atte,
Alejandro Martín
http://madrid.guifi.net