是否可以通过 IPTables 记录所有断开的连接并设置一个 iptables.log 文件以记录在 /var/log/ 中?
答案1
你可以通过配置 iptables 来“标记”消息,例如
iptables -A INPUT -s 192.0.2.0/24 -j LOG --log-prefix='[iptables] '
这将导致出现以文本为前缀的日志消息[iptables]
现在,你可以配置 rsyslog,通过在其配置中添加合适的条目将这些消息发送到特定的日志文件,例如
:msg,contains,"[iptables] " /var/log/iptables.log
答案2
有一种方法可以在 IPTables 中记录数据包。首先,您需要创建新的链来记录数据包。
iptables -N LOGGING
然后您需要使用以下命令附加要记录的数据包。
iptables -A INPUT -j LOGGING
iptables -A OUTPUT -j LOGGING
现在您可以使用它将数据包记录到系统日志中。
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
最后是这个命令。
iptables -A LOGGING -j DROP
请将此新行添加到您的 IPTables 文件底部。