为了使 PSAD 正常工作,我需要添加以下 iptables 规则并启用数据包日志记录:
iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
ip6tables -A INPUT -j LOG
ip6tables -A FORWARD -j LOG
我在我的系统上使用 UFW。那么,如何使用 UFW 添加这些规则?
答案1
你刚才启用日志记录。
sudo ufw logging on
答案2
正如上面的海报所说,您需要使用以下命令启用日志记录
sudo ufw logging on
但我发现我仍然需要添加 iptables 规则。为此,请运行以下每个命令(请注意,必须sudo在前面)
sudo iptables -A INPUT -j LOG
sudo iptables -A FORWARD -j LOG
sudo ip6tables -A INPUT -j LOG
sudo ip6tables -A FORWARD -j LOG
答案3
您需要向 ufw 添加额外的规则以满足 psad。编辑以下两个文件:
sudo vi /etc/ufw/before.rules
sudo vi /etc/ufw/before6.rules
对于上面列出的两个文件,添加以下行对于 psad,在最后,但是前 COMMIT
# custom logging directives for psad
-A INPUT -j LOG
-A FORWARD -j LOG
# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT
接下来重启 ufw
sudo ufw disable
sudo ufw enable
然后检查它是否适用于
sudo psad --fw-analyze
[+] Parsing /sbin/iptables INPUT chain rules.
[+] Parsing /sbin/ip6tables INPUT chain rules.
[+] Firewall config looks good.
[+] Completed check of firewall ruleset.
[+] Results in /var/log/psad/fw_check
[+] Exiting.
就是这样。阅读更多提示和技巧如何使用 UFW 配置 PSAD
答案4
就像 darronz 提到的那样,您仍然需要添加 iptable 规则。由于您使用的是 ufw,因此创建持久规则的最简单方法是编辑/etc/ufw/before.rules并/etc/ufw/before6.rules添加以下行
-A INPUT -j LOG
-A FORWARD -j LOG
在最后,但在之前COMMIT。