我有iptables防火墙及其对所有 DROP 数据包或拒绝的日志记录。我想告诉它不要记录 ICMP 协议的任何数据包。我该怎么说
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [24:5541]
:DROPLOG - [0:0]
-A INPUT -s 108.34.21.45 -j ACCEPT
-A INPUT -s 210.23.72.22 -j ACCEPT
-A INPUT -s 108.35.98.7 -j ACCEPT
-A INPUT -s 167.98.200.1 -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -s 172.56.21.10 -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -s 185.201.88.91 -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -j DROPLOG
-A DROPLOG -j LOG --log-prefix "DENY: " --log-level 6
-A DROPLOG -j DROP
COMMIT
这是日志示例:
DENY: IN=eth0 OUT= MAC=00:36:55:7a:3b:6c:00:31:d7:ba:a4:00:08:00 SRC=84.137.71.48 DST=108.101.99.137 LEN=88 TOS=0x00 PREC=0x00 TTL=118 ID=21684 PROTO=ICMP TYPE=3 CODE=3 [SRC=108.101.99.137 DST=192.168.2.102 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=0 DF PROTO=UDP SPT=21458 DPT=62936 LEN=40 ]
遵循填充我的磁盘的愚蠢日志...我想告诉iptables忽略 ICMP。我不想使用,limit因为我不关心 ICMP 消息。
答案1
我建议你插入一个
-A INPUT -p icmp -j DROP
前
-A INPUT -j DROPLOG
丢弃 ICMP 数据包,然后将其他数据包发送到 DROPLOG 以进行记录(并丢弃)。