Significado das entradas de log de uma configuração iptables

Navegue suas respostas
4

Meu roteador tem o Linux como seu sistema operacional. O log do sistema tem muitas linhas sobre iptable e klogd que eu não entendo, alguém poderia me explicar?

A configuração do iptables: 

iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
iptables -A INPUT -i ppp33 -j DROP
iptables -A FORWARD -i ppp33 -j DROP

Linhas de registro de amostra: 

klogd: Intrusion -> IN=ppp33 OUT= MAC= SRC=188.11.48.248 DST=2.40.146.60 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=12802 DF PROTO=TCP SPT=60584 DPT=64137 WINDOW=8192 RES=0x00 SYN URGP=0
klogd: Intrusion -> IN=ppp33 OUT= MAC= SRC=188.11.48.248 DST=2.40.146.60 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=12889 DF PROTO=TCP SPT=60584 DPT=64137 WINDOW=8192 RES=0x00 SYN URGP=0
    
por Terix 06.11.2012 / 02:26

2 respostas

6
iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101

Isso significa que sua interface ppp33 tem a configuração da Tradução de endereços de rede (NAT) para todas as solicitações para o destino de 192.168.1.101:44447. 

iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT

Esta regra complementa a regra anterior garantindo que a solicitação seja encaminhada para o host 192.168.1.101. 

iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "

Esta regra declara que quando vê flags SYN apenas em um pacote TCP, ele registrará "Intrusion" até 6 vezes por hora (obrigado Gilles pelo call out). Isso é comumente feito para ajudar um administrador a descobrir as verificações de rede Stealth. Isso é para todos os tcp de entrada para o host. 

iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "

Isto é o mesmo que o descrito acima, mas para todos os pacotes TCP destinados a outros hosts que ficam atrás deste NAT hospedeiro, ele pode estar fazendo alguma tradução para. 

iptables -A INPUT -i ppp33 -j DROP

Esta é uma regra que é abrangente. Se você vir algum outro tráfego destinado a esse host E não atender às regras acima, DROP a conexão. 

iptables -A FORWARD -i ppp33 -j DROP

Igual à regra anterior, mas conexões DROP para qualquer coisa que possa ser encaminhada para outra máquina para a qual esta máquina possa encaminhar.

Espero que isso ajude.

    
por 06.11.2012 / 04:33
2
iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
Pacotes

TCP enviados para a interface PPP (ou seja, do lado da Internet) na porta 44447 são reenviados para o endereço IP 192.168.1.101, que está no intervalo rede privada . O roteador está realizando NAT, especificamente DNAT . Isso significa que hosts externos podem acessar seu 192.168.1.101 na porta 44447 entrando em contato com seu roteador. 

iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "

Esta linha registra pacotes TCP SYN (pacotes que (tentam) iniciar uma conexão), vindos da Internet. Todos esses pacotes são registrados, exceto aqueles que são redirecionados anteriormente pela regra PREROUTING. No entanto, existe um limite de taxa para registro: não mais do que 6 desses pacotes são registrados em uma janela de 1 hora, os subsequentes são ignorados. 

iptables -A INPUT -i ppp33 -j DROP

Qualquer outro pacote de entrada é descartado silenciosamente.

Registrar essas tentativas de conexão é muito chato. Qualquer máquina conectada à Internet é escaneada com frequência, por vários bots que procuram vulnerabilidades potenciais. Você deve bloquear as conexões de entrada, exceto as portas monitoradas. É altamente improvável que você obtenha qualquer valor dos registros de tentativas de conexão bloqueadas.

    
por 07.11.2012 / 01:52

Tags

Como enviar um módulo do Linux upstream? O servidor SFTP aceita senhas de alguma forma?