El cortafuegos UFW viene preinstalado en Ubuntu y, como su nombre indica, los registros de UFW pueden ofrecer información de adentro hacia afuera sobre cómo su cortafuegos trata las solicitudes entrantes y salientes.

Pero antes de eso, debe verificar si el registro de UFW está habilitado o no:

                      
                        sudo ufw status verbose
                      
                    

Si obtiene una salida que dice Logging: on (low) eres bueno para ir, pero si se nota Logging: off como se muestra arriba, use el siguiente comando para activar el registro UFW:

                      
                        sudo ufw logging on
                      
                    

Una vez que haya iniciado sesión en UFW, puede usar el comando less para verificar los registros de firewall de UFW en su sistema:

                      
                        sudo less /var/log/ufw.log
                      
                    

Tantos términos complejos, ¿verdad? Bueno, no tienes que preocuparte por ellos; Desglosaré todos los términos utilizados en los registros de UFW en un momento.

Pero antes de eso, permítanme compartir varias formas de verificar los registros de UFW.

Cómo verificar los registros de UFW Firewall en Linux

Hay varias formas de comprobar los registros del cortafuegos de UFW; Ya he compartido uno de ellos al principio de esta guía.

Así que echemos un vistazo a los restantes.

Verifique los registros de Firewall usando el comando tail

Si está buscando una forma de monitorear los registros del firewall en vivo, puede usar el comando tail.

De forma predeterminada, el comando tail mostrará las últimas 10 líneas del archivo, pero cuando se usa con el -f opción, puede monitorear puede tener la cobertura en vivo de los registros de firewall:

                      
                        tail -f /var/log/ufw.log
                      
                    

Verifique los registros de Firewall usando el comando grep

Aparte de /var/log/ufw , hay otros dos lugares donde encontrará los registros del firewall de UFW. Pero esas ubicaciones no son solo específicas de los registros del firewall.

Es decir, también encontrará registros de otros servicios allí. Y en esos momentos, puede usar el comando grep para filtrar los resultados.

Entonces, puede filtrar los registros del firewall UFW de syslog :

                      
                        grep -i ufw /var/log/syslog
                      
                    

O puede filtrar los resultados de kern.log :

                      
                        grep -i ufw /var/log/kern.log
                      
                    

Como ambos te darán los mismos resultados:

Ahora, echemos un vistazo a los diferentes niveles de registro de firewall de UFW.

Cómo cambiar el nivel de registro del cortafuegos UFW

De forma predeterminada, el registro se registrará en el nivel bajo:

Pero antes de pasar a cómo puede cambiar la regla predeterminada, permítame explicarle los diferentes niveles de registro que tiene a su disposición.

Diferentes niveles de registro de UFW Firewall

Hay 5 niveles de registro UFW.

• off : Significa que el registro está deshabilitado.
• low : almacenará los registros relacionados con los paquetes bloqueados que no coinciden con las reglas actuales del firewall y mostrará las entradas de registro relacionadas con las reglas registradas.
  Sí, también puede especificar reglas registradas y le mostrará cómo hacerlo en la última parte de esta guía.
• medium : Además de todos los registros que ofrece el nivel bajo, obtiene registros de paquetes no válidos, conexiones nuevas y registro realizado a través de la limitación de velocidad.
• high : Incluirá registros para paquetes con limitación de velocidad y sin limitación de velocidad.
• full : Este nivel es similar al nivel alto pero no incluye la limitación de velocidad.

Ahora, si desea cambiar su nivel predeterminado o el nivel actual de registro, solo tiene que seguir la estructura de comando dada:

                      
                        sudo ufw logging logging_level
                      
                    

Entonces, si quiero cambiar mi nivel de registro actual a medium se puede hacer usando el comando dado:

                      
                        sudo ufw logging medium
                      
                    

Cómo agregar una regla de registro de UFW

Como mencioné anteriormente, puede agregar una regla de registro, especialmente si desea monitorear servicios específicos.

Le recomendaría cambiar su nivel de registro low para tener menos desorden en los registros y puede ser más específico sobre el monitoreo intencional.

Para agregar la regla de registro, solo tiene que seguir la sintaxis del comando:

                      
                        sudo ufw allow log service_name
                      
                    

Para example, he agregado una regla de registro para el puerto no. 22 (SSH):

                      
                        sudo ufw allow log 22/tcp
                      
                    

Interpretar los registros de UFW Firewall

Una vez que utilice cualquiera de los métodos mostrados para obtener los registros del firewall de UFW, obtendrá algo como esto (para la configuración predeterminada):

Y si agregó la regla de registro de UFW como mostré anteriormente, encontrará algo adicional:

Como puede ver, hay una ligera diferencia en ambas imágenes y las cubriré aquí.

• Dec  2 05:48:09 LHB kernel: [  180.759805] : muestra la fecha, la hora, el nombre de host y la hora del núcleo desde el arranque.
• [UFW BLOCK] : si está utilizando registros UFW en la configuración predeterminada, el nivel de registro está bloqueado en el nivel bajo. Esto significa que solo mostrará los paquetes rechazados que no se ajusten a las reglas de UFW.
  Y UFW BLOCK simplemente indica que el paquete fue bloqueado.
• [UFW ALLOW] : A pesar del nivel de registro predeterminado, si agregó una regla de registro, registrará todos los detalles relacionados con ese servicio y UFW ALLOW está indicando que el paquete fue permitido.
• IN=ens33 : Muestra la interfaz desde la que ha llegado el paquete.
• OUT= : Para la mayoría de los usuarios, esto no tendrá ningún valor y si indica algún valor, significa que hubo un evento saliente.
• MAC=00:0c:29:71:06:82:8c:b8:7e:b7:f7:46:08:00 : Toda la cadena de números y alfabetos no es más que una combinación de direcciones MAC de origen y destino.
• SRC=192.168.1.7 : Indica la dirección IP del origen del paquete.
• DST=192.168.1.5 : Muestra la dirección IP de destino del paquete y será la IP de su sistema.
• LEN=60 : Muestra la longitud del paquete (60 bytes en mi caso).
• TOS=0x10 : Indica el tipo de servicio.
• PREC=0x00 : Muestra el tipo de servicio “Precedencia”.
• TTL=64 : Muestra el TTL (tiempo de vida) del paquete. En términos simples, le mostrará cuánto tiempo rebotará el paquete hasta que caduque si no se especifica el destino.
• ID=4444 : Le dará una identificación única del datagrama IP y será compartido por los fragmentos de los mismos paquetes.
• DF : El indicador “No fragmentar” de TCP.
• PROTO=TCP : Muestra el protocolo utilizado para la transmisión del paquete.
• SPT=55656 : Obtiene el puerto de origen del paquete.
• DPT=22 : Indica el puerto de destino del paquete.
• WINDOW=64240 : Muestra el tamaño de la ventana de TCP.
• RES=0x00 : Indica los bits reservados.
• SYN URGP=0 : Aquí el SYN bandera indica la solicitud para hacer una nueva conexión y URGP=0 significa que no se estableció la conexión.
• ACK : La bandera de reconocimiento se utiliza para indicar que el host recibió correctamente el paquete.
• PSH : La bandera de empuje indica que los datos entrantes deben transmitirse a la aplicación en lugar de mejorarse.

Terminando

En esta guía, cubrí algunos de los aspectos básicos de los registros de firewall de UFW, que incluyen cómo puede habilitarlos, cambiar los niveles y el contenido de los registros de firewall.

Puede obtener más información sobre UFW en esta guía a continuación.

Espero que te sea útil y si tienes alguna duda o sugerencia, déjamela en los comentarios.