PSAD IPTables 日志记录错误

PSAD IPTables 日志记录错误

我在 Ubuntu 服务器上安装了 PSAD,然后相应地设置了 IPTables。但我仍然通过电子邮件收到此错误:

您可能只需要向 /sbin/iptables‘filter’‘INPUT’链添加一个默认日志记录规则(…)

以下是我的iptables -S规则:

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 678 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j LOG
-A INPUT -j DROP
-A FORWARD -j LOG

我的ip6tables -S规则(目前未启用 IPv6):

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -j LOG
-A INPUT -j DROP
-A FORWARD -j LOG

另外,我在日志中看到 PSAD 实际上正在记录活动。

您认为是什么原因导致我收到电子邮件中的错误?您知道如何解决吗?我的 IPTables 规则正确吗?

答案1

我手头没有 PSAD 安装可以检查,但它可能足够聪明,知道规则的显示顺序将允许未记录的攻击。尝试将日志规则放在 ACCEPT 规则之前。

相关内容