次の規則がありますiptables
。
-A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
これにより、確立されたものとして分類されていない発信接続が記録されます。ファイアウォールの送信ログが次のパケットをキャプチャすることがあります。
09:56:48 DST=a.b.167.208 TTL=64 SPT=80 DPT=25960 WINDOW=119 ACK URGP=0
09:48:48 DST=a.b.166.231 TTL=64 SPT=80 DPT=29861 WINDOW=119 ACK PSH URGP=0
09:29:57 DST=a.b.167.244 TTL=64 SPT=80 DPT=58244 WINDOW=119 ACK URGP=0
さらなる調査の結果、ウェブサーバアクセスログは、上記のIPアドレス75-100に対応する以前の着信接続を有していたことを示した。
上記の接続がconntrackモジュールによって確立されたものに分類されないのはなぜですか?ノイズをどのようにフィルタリングできますか?
答え1
私の理解によると、TCP接続はESTABLISHED
状態にのみ入ります。後ろにすでにACK
完了しました。これらのACK
パッケージはまさにあなたがそこに記録(そしてブロック)したものです。
http://www.iptables.info/en/connection-state.html#TCPCONNECTIONS
試してみました--ctstate ESTABLISHED,RELATED
か?
述べたように、「非定期的な」ロギングに関連して、dmesg / syslogはすべてのパケットをキャプチャしません。同様のメッセージが多すぎる場合は、ログのフラッディングを防ぐためにそのメッセージが削除されます。これは設定可能ですが、この質問の範囲外です。