Como sei quais conexões meu servidor debian está bloqueado?

1

Em suma, estou realmente procurando os arquivos de log para ver qualquer conexão de entrada sendo bloqueada no servidor debian lenny.

Ou alguma outra maneira de saber? Eu estou usando o iptables

    
por henry 30.11.2010 / 06:47

2 respostas

1

Você teria que adicionar uma regra no final de suas cadeias para enviar o pacote ao LOG target antes de deixá-lo executar na política DENY padrão.

    
por 30.11.2010 / 06:59
1

Por padrão, pacotes descartados não são registrados. Isso pode ser uma enorme quantidade de tráfego se você ativá-lo, e o syslog por padrão gravará mensagens no disco no modo mais "seguro", o que causa um carregamento pesado de E / S. Portanto, tenha cuidado para que isso não acabe inundando seu servidor.

Para ativar o registro de pacotes descartados ou rejeitados, recomendo que você adicione uma regra de LOG antes da regra DROP / REJECT, algo assim:

-A FORWARD -m limit --limit 4/sec --limit-burst 20 -j LOG --log-prefix "Dropping  (FORWARD): " 
-A FORWARD -j DROP 

Isso usa o módulo "limite" para permitir que até 20 pacotes sejam registrados antes de começar a limitá-los a não mais que 4 por segundo. Isso permitirá mais 20 pacotes quando o limite de 4 segundos não for atingido por um tempo.

Há também o módulo "hashlimit", que pode estar disponível em seu sistema, permitindo que você tenha um limite exclusivo por endereço IP local ou remoto. Veja "man iptables" para mais informações sobre hashlimit.

Finalmente, você provavelmente desejará gravar suas mensagens de log em um destino onde você tenha desativado o fsync. Em sistemas mais antigos isso foi feito colocando um "-" no início do nome do arquivo em /etc/syslog.conf. Eu não estou vendo uma opção similar para o rsyslog, então fique atento e se você ver o I / O do disco passar por cima do telhado quando você registra muitos pacotes, você pode precisar adicionar limites mais strongs ou mudar a configuração do rsyslog .

    
por 30.11.2010 / 09:50