我在INPUT链上丢弃所有的ICMP type 8数据包,所以现在我看到日志条目,因为Fabric脚本尝试联系另一台服务器,如下所示:
kernel: INPUT DROP IN=eth0 OUT= SRC=<ip1> DST=<ip2> LEN=88 TOS=0x00 PREC=0xC0 TTL=50 ID=60964 PROTO=ICMP TYPE=3 CODE=3 [SRC=<ip2> DST=<ip1> LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=45897 DF PROTO=TCP SPT=34120 DPT=22022 WINDOW=14600 RES=0x00 SYN URGP=0 ]
但是,它们与我习惯的tcp / udp日志条目不同,特别是方括号中的部分。 这是不同的部分涉及到什么?
这是一个目的地不可达(types3)端口不可达(代码3)消息。 因此,它封装了一些关于生成消息的原始连接的数据,这是你在尖括号中看到的。 所以IP1试图通过TCP从源端口34120连接到ip2到目的端口22022等等。这就产生了一个ICMP目的不可达消息,然后你丢弃了。
作为一个便笺,我会非常仔细地考虑阻止所有的ICMPstream量。 这通常不是一个好主意。