iptables設定のログエントリの意味

iptables設定のログエントリの意味

私のルーターはLinuxをオペレーティングシステムとして使用します。システムログには、私が理解できないiptableとklogdの行がたくさんあります。誰かが私に説明できますか?

iptables設定:

iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
iptables -A INPUT -i ppp33 -j DROP
iptables -A FORWARD -i ppp33 -j DROP

サンプルログ行:

klogd: Intrusion -> IN=ppp33 OUT= MAC= SRC=188.11.48.248 DST=2.40.146.60 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=12802 DF PROTO=TCP SPT=60584 DPT=64137 WINDOW=8192 RES=0x00 SYN URGP=0
klogd: Intrusion -> IN=ppp33 OUT= MAC= SRC=188.11.48.248 DST=2.40.146.60 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=12889 DF PROTO=TCP SPT=60584 DPT=64137 WINDOW=8192 RES=0x00 SYN URGP=0

答え1

iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101

これは、インターフェイスにターゲットppp33192.168.1.101:44447に対するすべての要求に対してNAT(Network Address Translation)が設定されていることを意味します。

iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT

このルールは、リクエストが 192.168.1.101 ホストに転送されることを保証することで、以前のルールを補完します。

iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "

規則によれば、TCPパケットでSYNフラグだけを見ると、1時間あたり最大6つの「侵入」が記録されます(呼び出してくれたGillesに感謝します)。これは通常、管理者がステルスネットワーク検索を検出するのに役立ちます。これは、ホストへのすべてのインバウンドTCPに対して機能します。

iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "

これは上記と同じですが、このホストのNATの背後にある他のホストに向かうすべてのTCPパケットに対していくつかの変換を実行できます。

iptables -A INPUT -i ppp33 -j DROP

これは包括的なルールです。上記の規則に準拠していないこのホストへの他のトラフィックがある場合は、接続を削除してください。

iptables -A FORWARD -i ppp33 -j DROP

以前と同じルールですが、このシステムが転送できる他のシステムに転送できるすべての接続を削除します。

答え2

iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101

伝送制御プロトコルポート44447(つまり、インターネット側)のPPPインターフェイスに送信されたパケットは、次の場所にあるIPアドレス192.168.1.101に再送信されます。プライベートネットワーク範囲。ルータがNATを実行しています。特にDNAT。これは、外部ホストがポート44447でルーターに接続して192.168.1.101にアクセスできることを意味します。

iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "

この行は、インターネット上のTCP SYNパケット(接続を開始しようとしているパケット)を記録します。 PREROUTINGルールによって以前にリダイレクトされたパケットを除いて、これらのすべてのパケットが記録されます。ただし、ロギングは速度が制限されます。 1時間で6つ以下のパケットがログに記録され、その後のパケットは無視されます。

iptables -A INPUT -i ppp33 -j DROP

他の受信パケットは自動的に破棄されます。


これらの接続の試みを記録することは非常に退屈です。インターネットに接続されているすべてのマシンは、潜在的な脆弱性を見つけるためにさまざまなボットによって頻繁にスキャンされます。検閲されたポートを除き、着信接続をブロックする必要があります。ブロックされた接続試行ログではどの値も取得できません。

関連情報