服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 什么信息在我的iptables日志中非常有用,如何禁用无用的位?
Intereting Posts
寻找允许用户从数据库pipe理的FTP服务器 我是否需要将数据库拆分为文件组? 现在是30GB 什么样的BitTorrent跟踪器可以用于私人网站? nginx权限被拒绝错误 如何在networking上find连接的主机(vpn或lan) 如何更改用户邮件configuration文件中的Exchange服务器名称? Dell PERC Sata RAID控制器成功发布后,Dell PowerEdge 1800在引导时挂起 SQL Server数据库恢复 CEO需要两个Exchange邮箱 SQL Server安装程序失败 如何configurationnginx以分钟存储访问日志? 不能使Dovecot使用SASL与Postfix通信(警告:SASL:连接到私人/身份validation失败:没有这样的文件或目录) 在Ubuntu下configurationiptables crond:不能设置组:操作不允许 修改Sendmail的return_path头

什么信息在我的iptables日志中非常有用,如何禁用无用的位?

在我的iptables规则文件中,我在最后input了这个: 

-A INPUT -j LOG --log-level 4 --log-ip-options --log-prefix "iptables: "

我DROP除了INPUT SSH(端口22)

我有一个networking服务器,当我尝试通过我的浏览器连接到它,通过一个禁止的端口号(故意的),我在我的iptables.log 

 Sep 24 14:05:57 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC=yy.yy.yy.yy DST=xx.xx.xx.xx LEN=64 TOS=0x00 PREC=0x00 TTL=54 ID=59351 DF PROTO=TCP SPT=63776 DPT=1999 WINDOW=65535 RES=0x00 SYN URGP=0 Sep 24 14:06:01 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC= yy.yy.yy.yy DST=xx.xx.xx.xx LEN=48 TOS=0x00 PREC=0x00 TTL=54 ID=63377 DF PROTO=TCP SPT=63776 DPT=1999 WINDOW=65535 RES=0x00 SYN URGP=0 Sep 24 14:06:09 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC=yy.yy.yy.yy DST=xx.xx.xx.xx LEN=48 TOS=0x00 PREC=0x00 TTL=54 ID=55025 DF PROTO=TCP SPT=63776 DPT=1999 WINDOW=65535 RES=0x00 SYN URGP=0 Sep 24 14:06:25 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC=yy.yy.yy.yy DST=xx.xx.xx.xx LEN=48 TOS=0x00 PREC=0x00 TTL=54 ID=54521 DF PROTO=TCP SPT=63776 DPT=1999 WINDOW=65535 RES=0x00 SYN URGP=0 Sep 24 14:06:55 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC=yy.yy.yy.yy DST=xx.xx.xx.xx LEN=100 TOS=0x00 PREC=0x00 TTL=54 ID=35050 PROTO=TCP SPT=63088 DPT=22 WINDOW=33304 RES=0x00 ACK PSH URGP=0 Sep 24 14:06:55 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC=yy.yy.yy.yy DST=xx.xx.xx.xx LEN=52 TOS=0x00 PREC=0x00 TTL=54 ID=14076 PROTO=TCP SPT=63088 DPT=22 WINDOW=33264 RES=0x00 ACK URGP=0 Sep 24 14:06:55 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC=yy.yy.yy.yy DST=xx.xx.xx.xx LEN=52 TOS=0x00 PREC=0x00 TTL=54 ID=5277 PROTO=TCP SPT=63088 DPT=22 WINDOW=33248 RES=0x00 ACK URGP=0 Sep 24 14:06:56 myserver kernel: [xx.xx] iptables: IN=eth0 OUT= MAC=aa:bb:cc SRC=yy.yy.yy.yy DST=xx.xx.xx.xx LEN=100 TOS=0x00 PREC=0x00 TTL=54 ID=25501 PROTO=TCP SPT=63088 DPT=22 WINDOW=33304 RES=0x00 ACK PSH URGP=0

正如你所看到的,我在浏览器中input了xx.xx.xx.xx:1999,并试图连接,直到超时。

1)只有一个事件有许多类似的路线。 你觉得我需要所有的人吗? 我将如何避免重复?

2)最后4行是我的端口22.但是,因为我允许我的Web服务器端口22 INPUT,为什么他们在这里?

3)我需要像LENTOSPREC和其他信息吗? 我试图find一个解释他们的网页,我找不到任何东西。

回复:1)浏览器可能会尝试连接多次,特别是如果你设置DROP,如果你设置拒绝,你会立即“连接被拒绝”。

Re:2)也许你在允许SSH之前设置了-j LOG规则,顺序是重要的。

我推荐这本书 ,考虑如何分析,也许从日志中获得一些统计数据。