iptablesによってブロックされたIPからの接続試行履歴

iptablesによってブロックされたIPからの接続試行履歴

CentOSサーバーでBlock Abuse IPを使用して、iptablesすべてのサービス/ポートへのすべての接続試行を削除しました。

実際、そのIPを持つサーバーはボットネットの一部であっても、ブロックした後に削除された可能性があります。最初にIPをロック解除せずにIPロックを解除するかどうかを判断できるように、サーバーがまだサーバーを攻撃しようとしているかどうかを知りたいです。

iptables私は同様のIPを見つけるために/ var / logを探し、問題のIPを見つけるためにgrep / var / log / secureを探してみましたが、何も見つかりませんでした。

切断された接続試行を記録するログはありますか?iptablesそれとも試みを記録しますが、まだ削除するようにルールを設定する方法はありますか?

答え1

他の回答に加えて、iptables -v -L特定のルールに対して通過したパケットとバイト数を一覧表示し、破棄されるトラフィックの量を確認することができ、その情報を解析して報告するツールを作成することは難しくありません。

答え2

LOG宛先を使用して明示的にパケットを記録する必要があります。DROPAbuse IPルールと同じ条件を-j LOG使用してチェーンにルールを追加できます-j DROP

また、特定のログプレフィックスを使用し、--log-prefix特定のログレベルを使用できます--log-level。ログの洪水を防ぐために速度制限を指定することも一般的です。iptables ドキュメントもっと学ぶ。

答え3

ドロップされたパケットのログチェーンを設定する必要があります。この仕事のための良いチュートリアルがあります。http://www.thegeekstuff.com/2012/08/iptables-log-packets/現在のルールセットに次のような内容を追加することで要約されます。

iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP

関連情報