那些遇到过的问题

Linux 中是否有任何日志可以说明某个端口是否已被拒绝

MOt*_*ite 6 linux firewall logging centos

假设我的防火墙处于活动状态或任何其他安全性,如 SE linux 等。

现在假设用户想要连接到端口21并且 Iptables 不允许它。

现在,当用户被拒绝时,该消息会记录在任何位置,以便我可以看到所使用的特定内容被阻止或特定端口被阻止的原因。

而不是挖掘每个设置来找出为什么我没有通过它。

我已将默认 ssh 端口更改为,8022但连接被拒绝。

我已经检查了 telnet 及其在该端口上的监听。我有空的 iptables。

是否有任何日志可以检查谁拒绝连接

F. *_*uri 10

第一个回答

不。默认情况下没有日志,显示这个,但是

显示当前防火墙配置

看看你的防火墙是如何配置的:

iptables -L
Run Code Online (Sandbox Code Playgroud)

先找Chain [INPUT|OUTPUT] policy。如果除了 之外还有什么ACCEPT,使用的端口可能必须被明确地ACCEPT编辑泡沫......

iptables -L INPUT | grep `port=2[01]`
Run Code Online (Sandbox Code Playgroud)

为了表示对端口20和端口21,但护理explicites规则,您可能需要阅读整个防火墙配置,检查一下multiportuser-defined chains等等。这可能会成为硬,如果您不知道iptables的。

一个空的打开的防火墙配置可能如下所示:

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Run Code Online (Sandbox Code Playgroud)

看:

man iptables
Run Code Online (Sandbox Code Playgroud)

知道什么可能会阻止您的规则中的某些内容

我用这个技巧:

touch /tmp/tmp_iptable_stat.txt
getChanges() {
    pushd /tmp >/dev/null
    for table in $(</proc/self/net/ip_tables_names);do
        echo $RANDOM: - $table
        iptables -t $table -nvxL --line-number
      done |
        diff -u tmp_iptable_stat.txt - |
        tee >(patch -p0) |
        sed '
            s/^+[0-9]*: - /TABLE /p;
            s/^+//p;
            d'
    popd >/dev/null
}
Run Code Online (Sandbox Code Playgroud)

第一次调用getChanges将转储所有表和计数器。对同一函数的后续调用将仅打印修改计数器的规则。这可能有助于找出阻止某些内容的规则。

显示当前网络堆栈状态:

内核网络堆栈可以通过以下方式转储

netstat -tan
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN
tcp        0   2364 192.168.1.1:21          192.168.1.35:49179      ESTABLISHED
Run Code Online (Sandbox Code Playgroud)

对于 TCP 套接字或

netstat -uan
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
Run Code Online (Sandbox Code Playgroud)

对于 UDP 套接字。

由于我的FTP服务器使用TCP套接字,我可以看到当前在我的服务器和主机之间建立了一个交换...35,(服务器当前有 2364 个数据包要发送到客户端。可能是一个文件,也可能是一个列表...)

跟踪特定接口上的流量

log您可以查看界面上发生的情况,而不是使用:

tcpdump -i ethX
Run Code Online (Sandbox Code Playgroud)

这将转储有关流量的有用信息ethX,但默认情况下,为了更易读,此工具将尝试解析每个 IP 的名称。所以事件本身和终端转储之间可能会有一些延迟。所以:

tcpdump -ani ethX
Run Code Online (Sandbox Code Playgroud)

不会尝试解析 (opt -n) IP 和服务名称,并将显示-a穿过接口的所有 ( ) 数据包。

更精细:

tcpdump -ani ethX port 21 or port 20
09:17:58.264453 IP 192.168.1.1.21 > 192.168.24.91.45951: Flags [S.], seq 3593971599, ack 1942867644, win 5792, options [mss 1460,sackOK,TS val 1168768120 ecr 62841986,nop,wscale 7], length 0
09:17:58.299693 IP 192.168.1.35.56485 > 192.168.1.1.21: Flags [S], seq 3334605998, win 5840, options [mss 1368,sackOK,TS val 1936641509 ecr 0,nop,wscale 7], length 0
09:17:58.299728 IP 192.168.1.1.21 > 192.168.1.35.56485: Flags [S.], seq 980554936, ack 3334605999, win 5792, options [mss 1460,sackOK,TS val 1168768129 ecr 1936641509,nop,wscale 7], length 0
...
Run Code Online (Sandbox Code Playgroud)

更详细: ... use -v or -vv for full protocol decode

tcpdump -anvvi ethX port 21 or port 20
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
09:22:40.047486 IP (tos 0x0, ttl 62, id 31488, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.24.91.46011 > 192.168.1.1.21: Flags [S], cksum 0x5985 (correct), seq 3989081263, win 14600, options [mss 1368,sackOK,TS val 62912431 ecr 0,nop,wscale 6], length 0
09:22:40.047525 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.1.1.21 > 192.168.24.91.46011: Flags [S.], cksum 0x926d (correct), seq 2283473829, ack 3989081264, win 5792, options [mss 1460,sackOK,TS val 1168838566 ecr 62912431,nop,wscale 7], length 0
09:22:40.817248 IP (tos 0x0, ttl 62, id 31489, offset 0, flags [DF], proto TCP (6), length 52)
    192.168.24.91.46011 > 192.168.1.1.21: Flags [.], cksum 0xd6e9 (correct), seq 1, ack 1, win 229, options [nop,nop,TS val 62912442 ecr 1168838566], length 0
09:22:40.817567 IP (tos 0x0, ttl 62, id 31490, offset 0, flags [DF], proto TCP (6), length 52)
    192.168.24.91.46011 > 192.168.1.1.21: Flags [F.], cksum 0xd6e3 (correct), seq 1, ack 1, win 229, options [nop,nop,TS val 62912447 ecr 1168838566], length 0
...
Run Code Online (Sandbox Code Playgroud)

您可以在哪里跟踪每个操作。

归档时间:

查看次数:

64894 次

最近记录:

8 年,8 月 前
相关归档
你能在 crontab 上多行注释吗 35
启用 SSH shell 访问但禁用 SFTP 访问 25
useradd 不加密 /etc/shadow 中的密码 21
rsyslog:如何将来自所有远程机器的消息定向到一个文件? 5
2 个磁盘上的 Linux raid10 5
卸载的逻辑卷“忙”? 5
我有一个应该无限期运行的 perl 脚本。它正在被杀死……我如何确定是谁或什么杀死了它? 4
用于高性能计算的 CPU 负载 4
ext3 和 ext4 支持的类似 Busybox 的二进制文件? 3
如何在不同位置进行rsnapshot备份? 2
难疑归档
如何在 NGINX 中添加 Access-Control-Allow-Origin? 205
每天进行数百次闯入尝试是否正常? 196
Sudo 作为不同的用户和运行屏幕 178
如何让 apt-get 忽略某些依赖项? 118
如何在 Ubuntu 上获取“apt-get install”的历史记录? 114
创建用户后创建主目录 84
使用 grep 获取文件中的最后一个匹配项 73
如何运行 VBoxManage.exe? 72
获取用户所属的 AD 组列表 69
下载 docker 镜像以传输到非互联网连接的机器 67