Linux

什麼資訊在我的 iptables 日誌中真正有用,我如何禁用無用的位?

  • July 20, 2021

在我的 iptables 規則文件中,我最後輸入了這個:

-A INPUT -j LOG --log-level 4 --log-ip-options --log-prefix "iptables: "

INPUT除了SSH(埠 22)之外,我 DROP 一切

我有一個網路伺服器,當我嘗試通過瀏覽器連接到它時,通過一個禁止的埠號(故意),我在我的iptables.log

Sep 24 14:05:57 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC=yy.yy.yy.yy DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=54 ID=59351 DF PROTO=TCP SPT=63776 DPT=1999 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 24 14:06:01 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC= yy.yy.yy.yy DST=xx.xx.xx.xx LEN=48 TOS=0x00 PREC=0x00 TTL=54 ID=63377 DF PROTO=TCP SPT=63776 DPT=1999 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 24 14:06:09 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC=yy.yy.yy.yy DST=xx.xx.xx.xx LEN=48 TOS=0x00 PREC=0x00 TTL=54 ID=55025 DF PROTO=TCP SPT=63776 DPT=1999 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 24 14:06:25 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC=yy.yy.yy.yy DST=xx.xx.xx.xx LEN=48 TOS=0x00 PREC=0x00 TTL=54 ID=54521 DF PROTO=TCP SPT=63776 DPT=1999 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 24 14:06:55 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC=yy.yy.yy.yy DST=xx.xx.xx.xx LEN=100 TOS=0x00 PREC=0x00 TTL=54 ID=35050 PROTO=TCP SPT=63088 DPT=22 WINDOW=33304 RES=0x00 ACK PSH URGP=0
Sep 24 14:06:55 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC=yy.yy.yy.yy DST=xx.xx.xx.xx LEN=52 TOS=0x00 PREC=0x00 TTL=54 ID=14076 PROTO=TCP SPT=63088 DPT=22 WINDOW=33264 RES=0x00 ACK URGP=0
Sep 24 14:06:55 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC=yy.yy.yy.yy DST=xx.xx.xx.xx LEN=52 TOS=0x00 PREC=0x00 TTL=54 ID=5277 PROTO=TCP SPT=63088 DPT=22 WINDOW=33248 RES=0x00 ACK URGP=0
Sep 24 14:06:56 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC=yy.yy.yy.yy DST=xx.xx.xx.xx LEN=100 TOS=0x00 PREC=0x00 TTL=54 ID=25501 PROTO=TCP SPT=63088 DPT=22 WINDOW=33304 RES=0x00 ACK PSH URGP=0

如您所見,我在瀏覽器中輸入了 xx.xx.xx.xx:1999,它會嘗試連接直到超時。

**1)**只有一個事件有許多類似的行。你認為我需要所有這些嗎?我將如何避免重複?

**2)**最後 4 行是我的埠 22。但是由於我允許埠 22 INPUT 用於我的 Web 伺服器,為什麼它們在這裡?

**3)**我需要LEN,TOSPREC其他資訊嗎?我正在嘗試找到一個一頁一頁地解釋它們的頁面,但我找不到任何東西。

Re: 1) 瀏覽器可能會嘗試連接多次,特別是如果你設置了 DROP,如果你設置了 REJECT,你會立即得到“連接被拒絕”。

回复:2)也許您在允許 SSH 進入之前設置了 -j LOG 規則,順序在鏈中很重要。

我推薦這本書,考慮如何分析並從日誌中獲取一些統計數據。

引用自:https://serverfault.com/questions/431398

相關問答

Linux

讓 iptables 登錄到我創建的這個文件還需要什麼?

  • February 22, 2013
檢視問答
Linux

在新的 AlmaLinux 9 CHAIN_USER_DEL CHAIN_ADD 上執行 firewalld 失敗

  • October 26, 2022
檢視問答
Linux

iptables 錯誤:未知選項 –dport

  • February 18, 2022
檢視問答
Linux

iptables list line numbers script iptables-save -bash: number-rules: command not found

  • February 4, 2022
檢視問答
Linux

類似的 iptables 規則放在一起

  • January 24, 2022
檢視問答
Linux

為什麼邏輯不適用於ufw?

  • January 19, 2022
檢視問答