Понимание пакетов, отброшенных iptables
Сегодня я прочитал в журналах пакетов, отброшенных ниже iptables, и я не совсем понимаю этот журнал. Я надеюсь, что кто-нибудь сможет мне помочь.
Я открыл только входящий SSH-порт 2221, а для моего исходящего трафика я открыл DNS-порт 53 как протокол UDP.
iptables-dropped: IN= OUT=eno1 SRC=myserver.ip DST=179.124.36.195 LEN=88 TOS=0x00 PREC=0xC0 TTL=64 ID=42743 PROTO=ICMP TYPE=3 CODE=3 [SRC=179.124.36.195 DST=myserver.ip LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=58511 DF PROTO=TCP SPT=57351 DPT=2221 WINDOW=29200 RES=0x00 SYN URGP=0 ]
Прочитав журнал, я спросил себя: «Как он (злоумышленник) может попытаться выполнить запрос ICMP, означает ли это, что мой сервер скомпрометирован?
Затем я прочитал скобку, где мы видим попытку входа в систему к порту SSH.
Одно падение, но 2 разных сообщения журнала?
Похоже, что ваш ssh-сервер был отключен (3 = ICMP_DEST_UNREACH), когда 179.124.36.195 попытался подключиться к нему, или у вас есть правила iptables REJECT, блокирующие доступ, в результате чего ICMP-ответ, сгенерированный вашей системой, а не «злоумышленником» system, которая была удалена из-за правил iptables.
Имеется одно сообщение журнала. Если вам нужна подробная информация о формате журнала, в исходном коде Linux просмотрите net / ipv4 / netfilter / nf_log_ipv4.c . Для 5.4.8-gentoo формат журнала ICMP начинается здесь:
111 case IPPROTO_ICMP: {
Полезные подробности о том, что вызвало ICMP_DEST_UNREACH, добавляются в сообщение журнала, начинающееся здесь:
177 case ICMP_DEST_UNREACH: