iptables 配置中日志条目的含义

iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101

这意味着您的接口ppp33已为发送至目标 192.168.1.101:44447 的所有请求设置了网络地址转换 (NAT)。

iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT

此规则通过确保请求转发到 192.168.1.101 主机来补充之前的规则。

iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "

该规则规定，当它仅在 TCP 数据包中看到 SYN 标志时，它将每小时记录最多 6 次“入侵”（感谢 Gilles 的呼吁）。这样做通常是为了帮助管理员发现隐形网络扫描。这适用于所有入站到主机的 tcp。

iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "

这与上面的相同，但对于发往位于该主机 NAT 后面的其他主机的所有 TCP 数据包，它可能会对其进行一些转换。

iptables -A INPUT -i ppp33 -j DROP

这是一条包罗万象的规则。如果您看到任何其他用于此主机的流量并且不符合上述规则，请删除连接。

iptables -A FORWARD -i ppp33 -j DROP

与之前的规则相同，但 DROP 连接任何可能转发到该机器可以转发到的另一台机器的连接。

iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101

传输控制协议发送到端口 44447 上的 PPP 接口（即来自 Internet 侧）的数据包将重新发送到 IP 地址 192.168.1.101，该地址位于专用网络范围。路由器正在执行NAT，具体来说DNAT。这意味着外部主机可以通过联系您的路由器在端口 44447 上访问您的 192.168.1.101。

iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "

该行记录来自 Internet 的 TCP SYN 数据包（（尝试）启动连接的数据包）。除先前由 PREROUTING 规则重定向的数据包外，所有此类数据包都会被记录。但是，记录有速率限制：1 小时窗口内记录的此类数据包不超过 6 个，后续的数据包将被忽略。

iptables -A INPUT -i ppp33 -j DROP

任何其他传入数据包都会被默默丢弃。

---

记录这些连接尝试非常无聊。任何连接到互联网的机器都会经常被各种机器人扫描，寻找潜在的漏洞。您应该阻止除经过审查的端口之外的传入连接。您不太可能从被阻止的连接尝试的日志中获得任何价值。