Iptables日记模块LOG使用 记录攻击来源IP

Iptables匹配相应规则后会触发一个动作,filter和nat表一般常用的有以下目标操作。

ACCEPT #允许数据包通过
DROP #丢弃数据包,不对该数据包进一步处理
REFECT #丢弃数据包,同时发送响应报文
–reject-with tcp-reset 返回tcp重置
–reject-with icmp-net-unreachable 返回网络不可达
–reject-with icmp-host-unreachable  返回主机不可达
RETURN #转到其它链处理
LOG #将数据包信息记录到syslog

本文就记录下LOG规则的使用,示例:进入的tcp端口为80的数据包记录到日记,错误级别err,描述前缀为INPUT,记录IP/TCP相关信息。

modprobe ipt_LOG #加载模块
-A INPUT -p tcp –dport 80 -j LOG –log-level err  –log-prefix “INPUT” –log-ip-options –log-tcp-sequence
–log-level #错误级别
–log-prefix “INPUT” #描述前缀
–log-ip-options #记录IP信息
–log-tcp-sequence #记录TCP序列号

然后访问服务器80端口测试,通过dmesg查看记录的信息如下:
INPUTIN=eth0 OUT= MAC=00:0c:29:73:e0:19:8c:89:a5:65:3a:4a:08:00 SRC=192.168.1.16 DST=192.168.1.2
LEN=522 TOS=0x00 PREC=0x00 TTL=128 ID=27499 DF PROTO=TCP SPT=5430 DPT=80 SEQ=3847892455 ACK=3435733082 WINDOW=16344 RES=0x00 ACK PSH URGP=0
还可以修改rsyslog将日志写入到文件。

vim /etc/rsyslog.conf #添加以下内容
kern.err           /var/log/iptables.log #日志文件路径

/etc/init.d/rsyslog restart #重启rsyslog服务

点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Scroll Up