web-dev-qa-db-ja.com

iptablesとログ

Exim、dovecot、およびFTPをブロックするiptablesにIPを追加し、このIPが再びサーバーにアクセスするとします。

IPがサーバーに再度到達しようとしたがブロックされたことを確認できるように、この訪問のログはありますか?

1
SpaceDog

これを試してみてください:

iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
3
Gilles Quenot

特定のIPアドレス(またはネット)をブロックする場合は、iptables -L -vnを介してブロックルールのヒット数を表示できます。パケットとバイトのカウンタが増加した場合、IPアドレス/ネットは再びアクセスしています。

ログに記録する情報が必要な場合は、iptablesでLOGターゲットを使用できます。

/sbin/iptables -A INPUT -p tcp -m multiport --dports 20,21,25,143 -j LOG --log-prefix "iptables: "
/sbin/iptables -A INPUT -p tcp -m multiport --dports 20,21,25,143 -j DROP

最初の行は、(syslogまたは構成したものへの)接続試行をログに記録し、その前に「iptables:」を付けます。これにより、grepをより簡単に実行したり、syslogによって出力を特別なiptables.logにリダイレクトしたりできます。 LOGジャンプは常にチェーンに戻り、2番目のルールによって接続の試行がドロップされます。

ログスパムを防ぐためにこれらのログエントリをさらにレート制限する方法については、@ sputnickの回答も参照してください。

3
Karma Fusebox