log tentativas de conexão de um IP bloqueado pelo iptables

5

Eu bloqueei um IP abusivo de um servidor CentOS usando iptables , descartando todas as tentativas de conexão em todos os serviços / portas.

Como é o modo de coisas, o servidor com este IP pode ter sido parte de uma botnet, e pode ter sido limpo no tempo desde que eu o bloqueiei. Eu gostaria de descobrir se ele ainda está tentando atacar o servidor, para que eu possa decidir se desbloqueio o IP ... sem desbloqueá-lo primeiro.

Eu tentei pesquisar em / var / log por qualquer coisa que pareça com iptables , grepped / var / log / secure para o IP ofensivo, mas não apresentei nada.

Existe um log de tentativas de conexão perdidas para iptables ou uma maneira de configurar a regra para registrar tentativas, mas ainda descartá-las?

    
por jammypeach 06.05.2016 / 16:25

3 respostas

6

Além das outras respostas, iptables -v -L lista as contagens de pacotes e bytes que percorrem uma determinada regra, para que você possa ver a quantidade de tráfego que está deixando cair e não seria muito difícil escrever uma ferramenta que analisa e relata essa informação.

    
por 06.05.2016 / 18:01
4

Você precisa registrar explicitamente os pacotes usando o LOG target. Você adicionaria uma regra às suas cadeias com os mesmos critérios da regra DROP do IP abusivo, mas usando -j LOG em vez de -j DROP .

Além disso, você pode especificar o prefixo de log usando --log-prefix e um nível de log usando --log-level . Também é comum especificar limites de taxa para evitar inundar os logs ... Consulte a documentação do iptables para detalhes.

    
por 06.05.2016 / 16:32
3

Você precisará configurar uma cadeia de registro para seus pacotes descartados. Há um bom tutorial sobre como fazer isso no link que se resume a adicionar algo semelhante ao seguindo para o seu conjunto de regras atual:

iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP
    
por 06.05.2016 / 16:36