Habilitar iniciar sesión en iptables en Linux una guía para principiantes

Iptable es una poderosa herramienta de firewall que se usa comúnmente en los sistemas de Linux para controlar el tráfico de red entrante y saliente. Una de las características más importantes de iptables es su capacidad para registrar la actividad de la red, que puede usarse para solucionar problemas y monitorear la seguridad. Sin embargo, muchos principiantes pueden encontrar el proceso de habilitar el registro en iptables confuso o abrumador.

Antes de comenzar, es importante tener en cuenta que el registro de iptables solo está disponible en el kernel 2.4.X y versiones posteriores. Además, debe tener acceso raíz a su sistema Linux para realizar los pasos descritos en esta guía.

Esta guía tiene como objetivo proporcionar una introducción clara y fácil de seguir al registro de iptables para principiantes.

Paso 1: Verifique las reglas actuales de iptables

Antes de comenzar, es importante conocer las reglas actuales de iptables que están en su lugar en su sistema. Para hacer esto, ingrese el siguiente comando en el terminal:

sudo iptables -l  

Este comando le mostrará las reglas iptables actuales, incluidas cualquier regla para registrarse.

Paso 2: Habilitar el registro en iptables

Para habilitar la sesión en iptables, necesitamos agregar una nueva regla a la configuración de iptables. Esto se puede hacer usando el siguiente comando:

sudo iptables -A input -j log  

Este comando agrega una nueva regla que registra todo el tráfico entrante. Si desea registrar solo tipos específicos de tráfico, puede usar el -pag opción para especificar el protocolo, como TCP o UDP, y el -s opción para especificar la dirección IP de origen.

sudo iptables -a entrada -p tcp -s 192.168.10.4/24 -j log  

Para definir el nivel de registro generado por iptables use --nivel de registro seguido del número de nivel.

sudo iptables -A entrada -s 192.168.10.0/24 -j log --log -nivel 4  

También podemos agregar algunos prefijos en registros generados, por lo que será fácil buscar registros en un archivo enorme.

sudo iptables -A entrada -s 192.168.10.0/24 -j log --log -prefix '** sospechoso **'  

Paso 3: Configurar syslog

De forma predeterminada, los registros de iptables se envían al búfer de mensajes del kernel. Para ver estos registros, debe configurar syslog para leer el búfer de mensajes y escribir los registros en un archivo. Esto se puede hacer editando el archivo de configuración de syslog, típicamente ubicado en /etc/syslog.confusión o /etc/rsyslog.confusión.

Deberá agregar la siguiente línea al archivo de configuración de syslog para habilitar el registro de iptables:

Paso 4: Verificar el registro

Para verificar que el registro se haya habilitado y configurado correctamente, ingrese el siguiente comando en el terminal:

sudo cola -f/var/log/iptables.registro  

Este comando mostrará las últimas líneas del archivo de registro iptables y continuará mostrando nuevas líneas a medida que se agregan al archivo.

También puede usar analizadores de registro como observación de registro, y iptables-log-parser Para obtener más información de los registros.

Paso 5: Desactivar el registro

Si ya no desea registrar el tráfico iptable, puede deshabilitar el registro eliminando la regla que se agregó en el paso 2. Esto se puede hacer usando el siguiente comando:

sudo iptables -d entrada -j log  

Conclusión

Habilitar el inicio de sesión en iptables en un sistema Linux es un paso importante para monitorear y asegurar su red. Siguiendo los pasos descritos en esta guía, ahora debe tener una comprensión básica de cómo habilitar el registro de iptables y cómo usar registros para solucionar problemas y mejorar la seguridad. Recuerde que iniciar sesión en iptables es solo un aspecto de la seguridad de la red, y es importante mantener su sistema actualizado, usar contraseñas seguras y conocer otras vulnerabilidades en su red. Tenga en cuenta que el registro es un proceso continuo y debe monitorearlo regularmente para mantener su sistema seguro.