Назад | Перейти на главную страницу

Как установить правила журнала iptables для PSAD с UFW?

Чтобы PSAD работал, мне нужно добавить следующие правила iptables и включить ведение журнала пакетов:

iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
ip6tables -A INPUT -j LOG
ip6tables -A FORWARD -j LOG

Я использую UFW в своей системе. Итак, как я могу добавить эти правила в UFW?

Как сказано на плакате выше, вам нужно будет включить ведение журнала с помощью команды

 sudo ufw logging on

Но я обнаружил, что мне все еще нужно добавить правила iptables. Для этого выполните каждую из приведенных ниже команд (обратите внимание, что у вас должен быть sudo спереди)

 sudo iptables -A INPUT -j LOG
 sudo iptables -A FORWARD -j LOG
 sudo ip6tables -A INPUT -j LOG
 sudo ip6tables -A FORWARD -j LOG

Вам нужно добавить дополнительные правила в ufw, чтобы удовлетворить psad. Отредактируйте следующие два файла:

sudo vi /etc/ufw/before.rules

sudo vi /etc/ufw/before6.rules

К обоим файлам, перечисленным выше, добавить следующие строки для psad, в самом конце, но перед COMMIT

# custom logging directives for psad
-A INPUT -j LOG
-A FORWARD -j LOG

# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

Следующий перезапуск ufw

sudo ufw disable
sudo ufw enable

а затем проверьте, работает ли он с

sudo psad --fw-analyze

[+] Parsing /sbin/iptables INPUT chain rules.
[+] Parsing /sbin/ip6tables INPUT chain rules.
[+] Firewall config looks good.
[+] Completed check of firewall ruleset.
[+] Results in /var/log/psad/fw_check
[+] Exiting.

Вот и все. Прочтите больше советов и рекомендаций на как настроить PSAD с UFW

Ты только включить ведение журнала.

sudo ufw logging on

Как уже упоминал Дарронз, вам все еще нужно добавить правила iptable. Поскольку вы используете ufw, самым простым способом создания постоянных правил было бы редактирование /etc/ufw/before.rules и /etc/ufw/before6.rules и добавьте следующие строки

-A INPUT -j LOG
-A FORWARD -j LOG

в конце, но до COMMIT.