MikroTik – remote syslog-ng

W tej częściu kursu zaprezentuje jak wysłać na zdalny serwer logi połączeń dla m.in. Policji. Wykorzystałem
serwer postawiony na Debianie z zainstalowaną poczką syslog-ng.

1) Jak nie mamy zainstalowanej paczki syslog-ng możemy to zrobić wydając polecenie:

aptitude install syslog-ng

2) Następnie przechodzimy do konfiguracji syslog-ng czyli przechodzimy do katalogu /etc/syslog-ng i
edytujemy plik konfiguracyjny syslog-ng.conf.

3) Zawartość pliku syslog-ng.conf może wyglądać jak poniżej:

options {
chain_hostnames(0);
time_reopen(10);
time_reap(360);
log_fifo_size(2048);
create_dirs(yes);
group(adm);
perm(0640);
dir_perm(0755);
use_dns(no);
sync(0);
};

source src {
unix-stream("/dev/log");
internal();
file("/proc/kmsg");
udp();
};

# lokalizacja gdzie zapisywane są przesyłane dane
destination

rb-3

{ file("/tmp/rb-3log" owner("root") group("root") perm(0640)); };

# host z którego rzyjmowane są polecenia

Wszelkie materiały, informacje, pliki, rysunki, zdjęcia itp. dostępne w tym dokumencie nie mogą być publikowane i redystrybuowane bez pisemnej zgody Copyright © F.H.U. „Pi” Piotr
Lewandowski, Czerniewice ul. Choceńska 14, 87-850 Choceń, NIP: 888-282-78-39, Regon: 340332256. Wszelkie prawa zastrzeżone. Materiał ten jest ograniczony prawami autorskimi

oraz innymi prawami i nie może być kopiowany, publikowany i rozprowadzany w żadnej formie.

filter f_rb-3 { host("192.168.10.3"); };

log { source(src); filter(f_rb-3); destination(

rb-3

); };

Plik z logami będzie zapisywany do katalogu /tmp pod nazwą rb-3.log

4) Oczywiście otwieramy na firewallu port UDP 514.

5) Teraz przechodzimy do konfiguracji firewalla do logowania połączeń. Logujemy się na MikroTik'a,
następnie z menu bocznego wybieramy IP Firewall

→

6) Wybieramy zakładkę Filter Rules i łańcuch na którym będziemy działać czyli forward,

Wszelkie materiały, informacje, pliki, rysunki, zdjęcia itp. dostępne w tym dokumencie nie mogą być publikowane i redystrybuowane bez pisemnej zgody Copyright © F.H.U. „Pi” Piotr
Lewandowski, Czerniewice ul. Choceńska 14, 87-850 Choceń, NIP: 888-282-78-39, Regon: 340332256. Wszelkie prawa zastrzeżone. Materiał ten jest ograniczony prawami autorskimi

oraz innymi prawami i nie może być kopiowany, publikowany i rozprowadzany w żadnej formie.

7) Dodajemy nową pozycję. W załadce General uzupełniamy:

–

Chain:

forward

–

Protocol:

6 (tcp)

8) Następnie przechodzimy do zakładki Advanced i uzupełniamy:

–

TCP Flags:

syn

Wszelkie materiały, informacje, pliki, rysunki, zdjęcia itp. dostępne w tym dokumencie nie mogą być publikowane i redystrybuowane bez pisemnej zgody Copyright © F.H.U. „Pi” Piotr
Lewandowski, Czerniewice ul. Choceńska 14, 87-850 Choceń, NIP: 888-282-78-39, Regon: 340332256. Wszelkie prawa zastrzeżone. Materiał ten jest ograniczony prawami autorskimi

oraz innymi prawami i nie może być kopiowany, publikowany i rozprowadzany w żadnej formie.

9) Kolejno wybieramy zakładkę Action i uzupełniamy:

–

Action:

log

–

Log Prefix:

rb-3

Zatwierdzamy dodanie pozycji przyciskiem OK.

10) Następnie dodajemy jeszcze jedną pozycję. W załadce General uzupełniamy:

–

Chain:

forward

–

Protocol:

6 (tcp)

Wszelkie materiały, informacje, pliki, rysunki, zdjęcia itp. dostępne w tym dokumencie nie mogą być publikowane i redystrybuowane bez pisemnej zgody Copyright © F.H.U. „Pi” Piotr
Lewandowski, Czerniewice ul. Choceńska 14, 87-850 Choceń, NIP: 888-282-78-39, Regon: 340332256. Wszelkie prawa zastrzeżone. Materiał ten jest ograniczony prawami autorskimi

oraz innymi prawami i nie może być kopiowany, publikowany i rozprowadzany w żadnej formie.

11) Następnie przechodzimy do zakładki Advanced i uzupełniamy:

–

TCP Flags:

fin

12) Kolejno wybieramy zakładkę Action i uzupełniamy:

–

Action:

log

–

Log Prefix:

rb-3

Wszelkie materiały, informacje, pliki, rysunki, zdjęcia itp. dostępne w tym dokumencie nie mogą być publikowane i redystrybuowane bez pisemnej zgody Copyright © F.H.U. „Pi” Piotr
Lewandowski, Czerniewice ul. Choceńska 14, 87-850 Choceń, NIP: 888-282-78-39, Regon: 340332256. Wszelkie prawa zastrzeżone. Materiał ten jest ograniczony prawami autorskimi

oraz innymi prawami i nie może być kopiowany, publikowany i rozprowadzany w żadnej formie.

Zatwierdzamy dodanie pozycji przyciskiem OK.

13) Na liście reguł firewalla powinniśmy zobaczyć dwie dodatkowe pozycje tj.:

14) Teraz przechodzimy do określenia gdzie logi mają być zapisywane. W tym celu z menu bocznego
wybieramy System Logging

→

Wszelkie materiały, informacje, pliki, rysunki, zdjęcia itp. dostępne w tym dokumencie nie mogą być publikowane i redystrybuowane bez pisemnej zgody Copyright © F.H.U. „Pi” Piotr
Lewandowski, Czerniewice ul. Choceńska 14, 87-850 Choceń, NIP: 888-282-78-39, Regon: 340332256. Wszelkie prawa zastrzeżone. Materiał ten jest ograniczony prawami autorskimi

oraz innymi prawami i nie może być kopiowany, publikowany i rozprowadzany w żadnej formie.

15) Następnie będąc w zakładce Rules klikamy dodanie nowej pozycji i uzupełniamy:

–

Topics:

firewall,

–

Prefix:

rb-3,

–

Action:

remote

16) Kolejno przechodzimy do zakładki Actions, powinniśmy zobaczyć kilka dodanych pozycji. Klikamy dwa
razy na pozycję remote i wpisujemy adres IP (na pozycji: Remote Address) serwera syslog-ng.

Wszelkie materiały, informacje, pliki, rysunki, zdjęcia itp. dostępne w tym dokumencie nie mogą być publikowane i redystrybuowane bez pisemnej zgody Copyright © F.H.U. „Pi” Piotr
Lewandowski, Czerniewice ul. Choceńska 14, 87-850 Choceń, NIP: 888-282-78-39, Regon: 340332256. Wszelkie prawa zastrzeżone. Materiał ten jest ograniczony prawami autorskimi

oraz innymi prawami i nie może być kopiowany, publikowany i rozprowadzany w żadnej formie.