Как установить правила журнала iptables для PSAD с UFW?
Чтобы PSAD работал, мне нужно добавить следующие правила iptables и включить ведение журнала пакетов:
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
ip6tables -A INPUT -j LOG
ip6tables -A FORWARD -j LOG
Я использую UFW в моей системе. Итак, как я могу добавить эти правила с UFW?
4 ответа
Как написано выше, вам нужно будет включить ведение журнала командой
sudo ufw logging on
Но я обнаружил, что мне все еще нужно добавить правила iptables. Для этого выполните каждую из приведенных ниже команд (обратите внимание, что вы должны иметь sudo спереди)
sudo iptables -A INPUT -j LOG
sudo iptables -A FORWARD -j LOG
sudo ip6tables -A INPUT -j LOG
sudo ip6tables -A FORWARD -j LOG
Вам нужно добавить дополнительные правила в UFW, чтобы удовлетворить PSAD. Отредактируйте следующие два файла:
sudo vi /etc/ufw/before.rules
sudo vi /etc/ufw/before6.rules
Для обоих файлов, перечисленных выше, добавьте следующие строки для PSAD, в самом конце, но до COMMIT
# custom logging directives for psad
-A INPUT -j LOG
-A FORWARD -j LOG
# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT
Следующая перезагрузка UFW
sudo ufw disable
sudo ufw enable
а затем проверьте, работал ли он с
sudo psad --fw-analyze
[+] Parsing /sbin/iptables INPUT chain rules.
[+] Parsing /sbin/ip6tables INPUT chain rules.
[+] Firewall config looks good.
[+] Completed check of firewall ruleset.
[+] Results in /var/log/psad/fw_check
[+] Exiting.
Вот и все. Прочитайте больше советов и подсказок о том, как настроить PSAD с UFW
Как упоминал Дарронз, вы все равно должны добавить приемлемые правила. Поскольку вы используете UFW, самый простой способ создания постоянных правил будет редактировать /etc/ufw/before.rules а также /etc/ufw/before6.rules и добавьте следующие строки
-A INPUT -j LOG
-A FORWARD -j LOG
в конце, но до COMMIT,