iptables 配置中日志条目的含义

iptables 配置中日志条目的含义

我的路由器使用 Linux 作为操作系统。系统日志有很多关于 iptable 和 klogd 的行,我不明白,有人可以向我解释一下吗?

iptables 设置:

iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
iptables -A INPUT -i ppp33 -j DROP
iptables -A FORWARD -i ppp33 -j DROP

示例日志行:

klogd: Intrusion -> IN=ppp33 OUT= MAC= SRC=188.11.48.248 DST=2.40.146.60 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=12802 DF PROTO=TCP SPT=60584 DPT=64137 WINDOW=8192 RES=0x00 SYN URGP=0
klogd: Intrusion -> IN=ppp33 OUT= MAC= SRC=188.11.48.248 DST=2.40.146.60 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=12889 DF PROTO=TCP SPT=60584 DPT=64137 WINDOW=8192 RES=0x00 SYN URGP=0

答案1

iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101

这意味着您的接口ppp33已为发送至目标 192.168.1.101:44447 的所有请求设置了网络地址转换 (NAT)。

iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT

此规则通过确保请求转发到 192.168.1.101 主机来补充之前的规则。

iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "

该规则规定,当它仅在 TCP 数据包中看到 SYN 标志时,它将每小时记录最多 6 次“入侵”(感谢 Gilles 的呼吁)。这样做通常是为了帮助管理员发现隐形网络扫描。这适用于所有入站到主机的 tcp。

iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "

这与上面的相同,但对于发往位于该主机 NAT 后面的其他主机的所有 TCP 数据包,它可能会对其进行一些转换。

iptables -A INPUT -i ppp33 -j DROP

这是一条包罗万象的规则。如果您看到任何其他用于此主机的流量并且不符合上述规则,请删除连接。

iptables -A FORWARD -i ppp33 -j DROP

与之前的规则相同,但 DROP 连接任何可能转发到该机器可以转发到的另一台机器的连接。

答案2

iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101

传输控制协议发送到端口 44447 上的 PPP 接口(即来自 Internet 侧)的数据包将重新发送到 IP 地址 192.168.1.101,该地址位于专用网络范围。路由器正在执行NAT,具体来说DNAT。这意味着外部主机可以通过联系您的路由器在端口 44447 上访问您的 192.168.1.101。

iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "

该行记录来自 Internet 的 TCP SYN 数据包((尝试)启动连接的数据包)。除先前由 PREROUTING 规则重定向的数据包外,所有此类数据包都会被记录。但是,记录有速率限制:1 小时窗口内记录的此类数据包不超过 6 个,后续的数据包将被忽略。

iptables -A INPUT -i ppp33 -j DROP

任何其他传入数据包都会被默默丢弃。


记录这些连接尝试非常无聊。任何连接到互联网的机器都会经常被各种机器人扫描,寻找潜在的漏洞。您应该阻止除经过审查的端口之外的传入连接。您不太可能从被阻止的连接尝试的日志中获得任何价值。

相关内容