Как определить, какой трафик отбрасывается / заблокированная основа на журнале iptables
Я последовал примеру для iptable входа от https://help.ubuntu.com/community/IptablesHowTo#More_detailed_Logging
sudo iptables -I INPUT 5 -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
Я получаю записи в журнале как ниже
Oct 20 03:45:50 hostname kernel: iptables denied: IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=x.x.x.x DST=x.x.x.x LEN=1059 TOS=0x00 PREC=0x00 TTL=115 ID=31368 DF PROTO=TCP SPT=17992 DPT=80 WINDOW=16477 RES=0x00 ACK PSH URGP=0
Oct 20 03:46:02 hostname kernel: iptables denied: IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=x.x.x.x DST=x.x.x.x LEN=52 TOS=0x00 PREC=0x00 TTL=52 ID=763 DF PROTO=TCP SPT=20229 DPT=22 WINDOW=15588 RES=0x00 ACK URGP=0
Oct 20 03:46:14 hostname kernel: iptables denied: IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=x.x.x.x DST=x.x.x.x LEN=324 TOS=0x00 PREC=0x00 TTL=49 ID=64245 PROTO=TCP SPT=47237 DPT=80 WINDOW=470 RES=0x00 ACK PSH URGP=0
Oct 20 03:46:26 hostname kernel: iptables denied: IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=x.x.x.x DST=x.x.x.x LEN=52 TOS=0x00 PREC=0x00 TTL=45 ID=2010 PROTO=TCP SPT=48322 DPT=80 WINDOW=380 RES=0x00 ACK URGP=0
Подобный журнал выше появляется, каждые 2 - 3 секунды кажется, что существует большой заблокированный трафик. Но мой вопрос состоит в том, как я определяю, какой трафик блокируется или отбросил основу на записях в журнале выше?
DPT, означает целевой порт? таким образом, DPT=22 означает, что доступ SSH блокирован? и DPT=80 означает, что Трафик HTTP заблокирован?
Мои iptables являются главным образом значениями по умолчанию, кроме я добавил несколько дополнительных правил
-A INPUT -s z.z.z.z/32 -j DROP
-A INPUT -s y.y.y.y/32 -j DROP
-A INPUT -s a.a.a.a/32 -j DROP
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
Ни один из IP SRC в файлах журнала не от iptables, который конкретно настроен для отбрасывания всего трафика и все же файлов журнала, показывающих другой IP-адрес с DPT=80, отбрасываемый DPT=22.
Есть ли что-то не так с моей конфигурацией?
Вот ваши правила снова:
-A INPUT -s z.z.z.z/32 -j DROP
-A INPUT -s y.y.y.y/32 -j DROP
-A INPUT -s a.a.a.a/32 -j DROP
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
Первый будет молча отбрасывать любой соответствующий ему пакет. Как и второй, и третий. К тому времени, когда вы достигнете правила «ограничения», вы уже отбросите все пакеты, соответствующие этим исходным IP-адресам. Теперь у вас есть остальной трафик. Для этого остального трафика вы будете регистрировать пять пакетов в минуту. Вы ошибочно регистрируете их как запрещенные, когда они фактически не отклоняются.
Если вместо этого вы хотите регистрировать и отбрасывать пакеты, соответствующие любому из нескольких исходных IP-адресов, самый простой способ сделать это - создать новую цепочку, которая войдет и упадет. Например: [
iptables -N LOG_AND_DROP
iptables -A LOG_AND_DROP -j LOG --log-prefix "Source host denied "
iptables -A LOG_AND_DROP -j DROP
] Теперь, когда у вас есть эта цепочка, вы хотите направлять трафик в журнал и отбрасывать его:
iptables -A INPUT -s z.z.z.z/32 -j LOG_AND_DROP
iptables -A INPUT -s y.y.y.y/32 -j LOG_AND_DROP
iptables -A INPUT -s a.a.a.a/32 -j LOG_AND_DROP
Это будет принимать любой пакет, соответствующий этим адресам источника, и отправлять его в цепочку LOG_AND_DROP. Эта цепочка, как она называется, сначала регистрирует каждый отдельный пакет, а затем отбрасывает его. Если хотите, вы можете ограничить регистрацию, а затем отказаться от нее. На ваше усмотрение и зависит от того, о каком объеме трафика мы говорим.
Примечание: Убедитесь, что вы очистили существующие правила перед добавлением вышеуказанных правил. В противном случае у вас по-прежнему будет действовать вводящее в заблуждение правило: ведение журнала, но не отрицание.