如何为带有UFW的PSAD设置iptables日志规则？

Question

为了使PSAD工作，我需要添加以下iptables规则并启用数据包日志记录：

iptables -A INPUT -j LOG
iptables -A FORWARD -j LOG
ip6tables -A INPUT -j LOG
ip6tables -A FORWARD -j LOG

我在我的系统上使用UFW。那么，我如何在UFW中添加这些规则呢？

Answer 1

你只是启用日志。

sudo ufw logging on

Answer 2

如上面的海报所示，您需要使用命令启用日志记录。

 sudo ufw logging on

但我发现我仍然需要添加iptables规则。要执行此操作，请运行以下每个命令(请注意，前面必须有sudo )

 sudo iptables -A INPUT -j LOG
 sudo iptables -A FORWARD -j LOG
 sudo ip6tables -A INPUT -j LOG
 sudo ip6tables -A FORWARD -j LOG

Answer 3

您需要添加额外的规则，以满足ufw。编辑以下两个文件：

sudo vi /etc/ufw/before.rules

sudo vi /etc/ufw/before6.rules

在上面列出的两个文件中，在最末尾但在COMMIT之前为psad添加以下行

# custom logging directives for psad
-A INPUT -j LOG
-A FORWARD -j LOG

# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

下一次重启ufw

sudo ufw disable
sudo ufw enable

然后检查它是否有效

sudo psad --fw-analyze

[+] Parsing /sbin/iptables INPUT chain rules.
[+] Parsing /sbin/ip6tables INPUT chain rules.
[+] Firewall config looks good.
[+] Completed check of firewall ruleset.
[+] Results in /var/log/psad/fw_check
[+] Exiting.

就这样。阅读有关如何用UFW配置PSAD的更多技巧和技巧