我遇到了一个奇怪的问题。问题是,系统日志包含(每 12 秒)一个已记录/阻止的连接,例如这个属于 googlebot 的连接:
iptables denied: IN=eth0 OUT= SRC=66.249.66.52 DST=<MY_SERVER_IP> LEN=60 TOS=0x00 PREC=0x40 TTL=55 ID=49488 DF PROTO=TCP SPT=47902 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0
或者使用这个到 Opera Mini:
iptables denied: IN=eth0 OUT= SRC=141.0.8.219 DST=<MY_SERVER_IP> LEN=60 TOS=0x00 PREC=0x40 TTL=58 ID=41251 DF PROTO=TCP SPT=50426 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0
Iptables 规则(删除了 ssh 规则):
# Generated by iptables-save v1.4.12 on Sat Sep 29 14:25:22 2012
*filter
:INPUT DROP [28:2605]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [54305:39093682]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i lo -j ACCEPT
COMMIT
# Completed on Sat Sep 29 14:25:22 2012
有人知道发生了什么事吗?
答案1
这是第三个 INPUT 规则,它记录所有流量的样本。
它实际上根本没有阻塞流量,日志消息只是给你一种印象。
从 iptables 管理
限制
This module matches at a limited rate using a token bucket filter. A rule using this extension will match until this limit is reached (unless the ‘!’ flag is used). It can be used in combination with the LOG target to give limited logging, for example.