我的 iptables 日志中哪些信息真正有用?如何禁用无用的部分?

tag-icon tag-icon linux firewall monitoring
我的 iptables 日志中哪些信息真正有用?如何禁用无用的部分?

在我的 iptables 规则文件中,我在最后输入了以下内容:

-A INPUT -j LOG --log-level 4 --log-ip-options --log-prefix "iptables: "

我删除了除INPUTSSH(端口 22)之外的所有内容

我有一个 Web 服务器,当我尝试通过浏览器通过禁止的端口号(故意)连接到该服务器时,我在我的iptables.log

Sep 24 14:05:57 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC=yy.yy.yy.yy DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=54 ID=59351 DF PROTO=TCP SPT=63776 DPT=1999 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 24 14:06:01 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC= yy.yy.yy.yy DST=xx.xx.xx.xx LEN=48 TOS=0x00 PREC=0x00 TTL=54 ID=63377 DF PROTO=TCP SPT=63776 DPT=1999 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 24 14:06:09 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC=yy.yy.yy.yy DST=xx.xx.xx.xx LEN=48 TOS=0x00 PREC=0x00 TTL=54 ID=55025 DF PROTO=TCP SPT=63776 DPT=1999 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 24 14:06:25 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC=yy.yy.yy.yy DST=xx.xx.xx.xx LEN=48 TOS=0x00 PREC=0x00 TTL=54 ID=54521 DF PROTO=TCP SPT=63776 DPT=1999 WINDOW=65535 RES=0x00 SYN URGP=0
Sep 24 14:06:55 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC=yy.yy.yy.yy DST=xx.xx.xx.xx LEN=100 TOS=0x00 PREC=0x00 TTL=54 ID=35050 PROTO=TCP SPT=63088 DPT=22 WINDOW=33304 RES=0x00 ACK PSH URGP=0
Sep 24 14:06:55 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC=yy.yy.yy.yy DST=xx.xx.xx.xx LEN=52 TOS=0x00 PREC=0x00 TTL=54 ID=14076 PROTO=TCP SPT=63088 DPT=22 WINDOW=33264 RES=0x00 ACK URGP=0
Sep 24 14:06:55 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC=yy.yy.yy.yy DST=xx.xx.xx.xx LEN=52 TOS=0x00 PREC=0x00 TTL=54 ID=5277 PROTO=TCP SPT=63088 DPT=22 WINDOW=33248 RES=0x00 ACK URGP=0
Sep 24 14:06:56 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC=yy.yy.yy.yy DST=xx.xx.xx.xx LEN=100 TOS=0x00 PREC=0x00 TTL=54 ID=25501 PROTO=TCP SPT=63088 DPT=22 WINDOW=33304 RES=0x00 ACK PSH URGP=0

如你所见,我在浏览器中输入了 xx.xx.xx.xx:1999,它尝试连接,直到超时。

1)仅一个事件就有很多类似的行。你认为我需要所有这些行吗?我该如何避免重复?

2)最后 4 行是我的端口 22。但是,既然我允许我的 Web 服务器使用端口 22 INPUT,为什么它们在这里?

3)我需要诸如 、 等信息吗LENTOSPREC试图找到一个逐一解释它们的页面,但我什么也没找到。

答案1

回复:1)浏览器可能会尝试连接多次,特别是如果您设置了 DROP,如果您设置了 REJECT,您将立即收到“连接被拒绝”的信息。

回复:2)也许您在允许 SSH 进入之前设置了 -j LOG 规则,顺序在链中很重要。

我建议这本书,考虑如何分析并可能从日志中获取一些统计数据。

相关内容