iptablesを使用して閉じたTCP接続を記録する

iptablesを使用して閉じたTCP接続を記録する

次のように、iptablesを使用して新しいTCP接続を簡単に記録できます。

iptables -A INPUT -p tcp --dport XYZ -m state --state NEW -j LOG

接続が失われたときにログを残す方法はありますか?

答え1

より良いものがあるかもしれませんが、tcpプロトコルはFINまたはRSTパケットとの接続を終了します。これらを一致させることができます。

iptables -I INPUT -p tcp --dport XYZ --tcp-flags FIN FIN -j LOG
iptables -I INPUT -p tcp --dport XYZ --tcp-flags RST RST -j LOG

FINは、--tcp-flags2つのパラメータ、つまり見ているフラグと許可する組み合わせマスクを再利用します。

関連情報