CentOSサーバーでBlock Abuse IPを使用して、iptables
すべてのサービス/ポートへのすべての接続試行を削除しました。
実際、そのIPを持つサーバーはボットネットの一部であっても、ブロックした後に削除された可能性があります。最初にIPをロック解除せずにIPロックを解除するかどうかを判断できるように、サーバーがまだサーバーを攻撃しようとしているかどうかを知りたいです。
iptables
私は同様のIPを見つけるために/ var / logを探し、問題のIPを見つけるためにgrep / var / log / secureを探してみましたが、何も見つかりませんでした。
切断された接続試行を記録するログはありますか?iptables
それとも試みを記録しますが、まだ削除するようにルールを設定する方法はありますか?
答え1
他の回答に加えて、iptables -v -L
特定のルールに対して通過したパケットとバイト数を一覧表示し、破棄されるトラフィックの量を確認することができ、その情報を解析して報告するツールを作成することは難しくありません。
答え2
LOG
宛先を使用して明示的にパケットを記録する必要があります。DROP
Abuse IPルールと同じ条件を-j LOG
使用してチェーンにルールを追加できます-j DROP
。
また、特定のログプレフィックスを使用し、--log-prefix
特定のログレベルを使用できます--log-level
。ログの洪水を防ぐために速度制限を指定することも一般的です。iptables ドキュメントもっと学ぶ。
答え3
ドロップされたパケットのログチェーンを設定する必要があります。この仕事のための良いチュートリアルがあります。http://www.thegeekstuff.com/2012/08/iptables-log-packets/現在のルールセットに次のような内容を追加することで要約されます。
iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP