Eu bloqueei um IP abusivo de um servidor CentOS usando iptables , descartando todas as tentativas de conexão em todos os serviços / portas.
Como é o modo de coisas, o servidor com este IP pode ter sido parte de uma botnet, e pode ter sido limpo no tempo desde que eu o bloqueiei. Eu gostaria de descobrir se ele ainda está tentando atacar o servidor, para que eu possa decidir se desbloqueio o IP ... sem desbloqueá-lo primeiro.
Eu tentei pesquisar em / var / log por qualquer coisa que pareça com iptables , grepped / var / log / secure para o IP ofensivo, mas não apresentei nada.
Existe um log de tentativas de conexão perdidas para iptables ou uma maneira de configurar a regra para registrar tentativas, mas ainda descartá-las?
Você precisa registrar explicitamente os pacotes usando o LOG target. Você adicionaria uma regra às suas cadeias com os mesmos critérios da regra DROP do IP abusivo, mas usando -j LOG em vez de -j DROP .
Além disso, você pode especificar o prefixo de log usando --log-prefix e um nível de log usando --log-level . Também é comum especificar limites de taxa para evitar inundar os logs ... Consulte a documentação do iptables para detalhes.
Você precisará configurar uma cadeia de registro para seus pacotes descartados. Há um bom tutorial sobre como fazer isso no link que se resume a adicionar algo semelhante ao seguindo para o seu conjunto de regras atual:
iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP