Многие из вас уже знакомы с такой полезной опцией пакетного фильтра
iptables как LOG которая позволяет регистрировать определенные пакеты
проходящие через него.

В данной статье я опишу полезное дополнение к iptables под названием
Ulogd с помощью которого значительно расширяются возможности по
регистрации пакетов проходящих через пакетный фильтр.

Также в данной статье рассмотрена настройка WEB интерфейса к Ulogd под
названием Nulog.

Итак приступим.

Для совместной работы ulogd в связке с nulog нам потребуется
установленный mysql сервер, http-сервер apache с поддержкой php.

Все это можно найти в любом дистрибутиве Linux.

Установка

Пакет ulogd включен в состав дистрибутива ASP Linux 11.

Если вы используете другую операционную систему Linux например RHEL4,
то вам необходимо взять srpm пакет в ftp.asplinux.ru и пересобрать из
него rpm.

Пакет Nulog можно скачать с http://www.inl.fr/old/Nulog.html
Последняя версия доступная на момент написания данной статьи
nulog-1.2.1.

Установим необходимые пакеты :

rpm -ihv ulogd-1.23-2.i386.rpm
rpm -ihv ulogd-mysql-1.23-2.i386.rpm

Распакуйте содержимое архива nulog в каталог /var/www/nulog

Настройка

Ulogd

Перейдите в каталог /etc/ и отредактируйте файл ulogd.conf

Нас интересуют следующие строки:

Обязательно включите следующий плагин.

plugin="/usr/lib/ulogd/ulogd_MYSQL.so"

И отредактируйте следующий раздел:

[MYSQL]
table="ulog"
pass="changeme"
user="laforge"
db="ulogd"
host="localhost"

В дальнейшем описании я буду использовать значения из раздела [MYSQL]
которые установлены по умолчанию.

Запустите сервер MySQL командой:

service mysqld start

Войдите в терминал MySQL командой

mysql

вы увидите приглашение на ввод команд:

Нам необходимо создать базу данных которую вы указали в разделе [MYSQL]
сделать это можно выполнив:

>create database ulogd;

Вы увидите вывод:

Query OK, 1 row affected (0.00 sec)

Значит база данных успешно создана. Также необходимо дать права на эту
базу пользователю laforge, разрешить пользователю входить только с
машины localhost, и указать пароль для пользователя laforge=changeme.

>grant all on ulogd.* to laforge@localhost identified by 'changeme';
Query OK, 0 rows affected (0.03 sec)

Теперь выйдите из интерфейса mysql выполнив:

>q

Перейдите в каталог /var/www/nulog/scripts/ в данном каталоге есть файл
ulogd.mysqldump который содержит поля базы данных. выполните команду:

mysql -u laforge ulogd -p
Options None
AllowOverride None
Order deny,allow
Deny from all
Allow from 127.0.0.1
Allow from IP_ADDR

Вместо IP_ADDR подставьте ip адрес с которого будет разрешено
просматривать статистику работы Nulog.

Перезапустите apache

service httpd restart

Теперь нам необходимо убедиться, что все работает для этого в командной
строке наберите

telnet 127.0.0.1 22

тем самым мы создадим событие которое должно попасть в БД ulogd.

Наберите в броузере http://IP_ADDR/nulog/ вместо IP_ADDR подставьте
ip адрес или доменное имя компьютера.

Может распространяться свободно при указании авторства.

Автор: Фролов Денис.