Ter*_*rix 4 linux networking logs iptables tcp
我的路由器有 Linux 作为它的操作系统。系统日志中有很多关于 iptable 和 klogd 的行我不明白,有人可以给我解释一下吗?
iptables 设置:
iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
iptables -A INPUT -i ppp33 -j DROP
iptables -A FORWARD -i ppp33 -j DROP
示例日志行:
klogd: Intrusion -> IN=ppp33 OUT= MAC= SRC=188.11.48.248 DST=2.40.146.60 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=12802 DF PROTO=TCP SPT=60584 DPT=64137 WINDOW=8192 RES=0x00 SYN URGP=0
klogd: Intrusion -> IN=ppp33 OUT= MAC= SRC=188.11.48.248 DST=2.40.146.60 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=12889 DF PROTO=TCP SPT=60584 DPT=64137 WINDOW=8192 RES=0x00 SYN URGP=0
iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
这意味着您的接口ppp33已为所有发往目的地 192.168.1.101:44447 的请求设置了网络地址转换 (NAT)。
iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT
此规则通过确保将请求转发到 192.168.1.101 主机来补充之前的规则。
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
该规则规定,当它仅在 TCP 数据包中看到 SYN 标志时,它将每小时最多记录 6 次“入侵”(感谢 Gilles 的呼吁)。这样做通常是为了帮助管理员发现隐形网络扫描。这适用于所有入站到主机的 tcp。
iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
这与上面的相同,但是对于所有打算发送到位于此主机 NAT 后面的其他主机的 TCP 数据包,它可能正在为其做一些转换。
iptables -A INPUT -i ppp33 -j DROP
这是一个包罗万象的规则。如果您看到针对此主机的任何其他流量并且不符合上述规则,请删除连接。
iptables -A FORWARD -i ppp33 -j DROP
与之前的规则相同,但对于可能转发到该机器可以转发到的另一台机器上的任何内容,请删除连接。