“Mapear” accesos al servidor I

Jugando con node se me ocurrió que debería pintar el origen de los accesos al servidor de Norsip. Por el momento lo he limitado a los puertos 21,22 y 80.

(Instrucciones para un servidor debian/ubuntu el resto… pos… eso…)

 

Iptables

Primero necesitamos datos, los vamos a sacar de iptables, para ello añadiremos 3 nuevas reglas a iptables (solo guardamos conexiones nuevas):

# LOG SSH
iptables -A INPUT -p tcp -m tcp -m state --dport 22 --state NEW -j LOG --log-prefix "[IPTABLES " --log-level 4
# LOG WWW
iptables -A INPUT -p tcp -m tcp -m state --dport 80 --state NEW -j LOG --log-prefix "[IPTABLES " --log-level 4
# LOG FTP
iptables -A INPUT -p tcp -m tcp -m state --dport 21 --state NEW -j LOG --log-prefix "[IPTABLES " --log-level 4

Ahora necesitamos que estos logs vayan a un archivo específico del sistema: crearemos un fichero netlog.log en /var/log/ y le damos los permisos adecuados.

touch /var/log/netlog.log
chmod 600 /var/log/netlog.log
chown root:adm /var/log/netlog.log

 

Syslog

Y ahora necesitamos que los eventos de iptables se redirijan a este fichero, por lo crearemos un filtro en syslog:

cd /etc/rsyslog.d/
nano 21-iptables.conf

Con este contenido

# Guardar todos los mensajes que comiencen por [IPTABLES en el fichero de antes
:msg,startswith,"[IPTABLES" /var/log/netlog.log
# y no procesar mas estos mensajes, para que no vayan a otros logs
& ~

Guardamos con Ctrl+X Y y listo, ahora reiniciamos syslog:

sudo service rsyslog restart

Y deberemos empezar a ver logs:

Sep 27 17:14:48 h kernel: [IPTABLES IN=eth0 OUT= MAC=02:00:97:50:89:4c:10:f3:11:10:50:68:08:00 SRC=2.139.235.246 DST=151.80.137.76 LEN=52 TOS=0x00 PREC=0x00 TTL=116 ID=19984 DF PROTO=TCP SPT=55592 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 27 17:15:03 h kernel: [IPTABLES IN=eth0 OUT= MAC=02:00:97:50:89:4c:10:f3:11:19:bf:68:08:00 SRC=2.139.235.246 DST=151.80.137.76 LEN=52 TOS=0x00 PREC=0x00 TTL=116 ID=20271 DF PROTO=TCP SPT=55593 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 27 17:15:03 h kernel: [IPTABLES IN=eth0 OUT= MAC=02:00:97:50:89:4c:10:f3:11:19:bf:68:08:00 SRC=2.139.235.246 DST=151.80.137.76 LEN=52 TOS=0x00 PREC=0x00 TTL=116 ID=20270 DF PROTO=TCP SPT=55594 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0

Segunda parte: https://blog.norsip.com/2017/09/27/mapear-accesos-al-servidor-ii/

Deja un comentario