No iptables gostaria de adicionar logging a todos os lugares onde o DROP é chamado.
No entanto, como posso encontrar tabelas diferentes em um ambiente de produção, gostaria apenas de estender todas as regras que contêm o destino DROP. Não quero passar pelo tedioso processo de reescrever todas as regras manualmente. Portanto, eu me pergunto - Existe uma maneira de apenas alterar ou adicionar um prefixo de log em um número de regras de correspondência, a fim de adicionar uma seqüência personalizada, diga "DROPPED" ...? Dessa forma, se eu adicionar uma entrada similar na tabela PREROUTING, eu posso detectar todos os pacotes em um intervalo de portas onde o PREROUTING não é seguido por DROPPED, o que indicaria um pacote de passagem, que é basicamente o que eu gostaria de detectar. / p>
Ou assim, ou se houver outra maneira melhor ...
Aqui está uma das melhores opções.
iptables -N myDrop
iptables -A myDrop -j LOG --log-prefix "dropping " --log-level 7 --log-tcp-sequence --log-tcp-options --log-ip-options
iptables -A myDrop -j DROP
Agora, em vez de fazer um -j DROP do -j myDrop e ele será registrado.
Você pode configurar o ulogd e registrar para vários outros destinos, incluindo um banco de dados.
iptables -A myDrop -j NFLOG --nflog-prefix banned_hosts --nflog-group 1