iptables e logs

1

Suponha que eu adicione um IP ao bloqueio do iptables para o exim, dovecot e FTP e este IP visite meu servidor novamente.

Existe algum registro desta visita para que eu possa confirmar se o IP estava tentando acessar o servidor novamente, mas foi bloqueado?

    
por SpaceDog 11.04.2013 / 23:50

2 respostas

3

Tente fazer isso:

iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
    
por 12.04.2013 / 00:02
3

Se você bloquear um endereço IP (ou rede) específico, poderá visualizar a contagem de ocorrências da regra de bloqueio por meio de iptables -L -vn . Se os contadores de pacotes e bytes aumentarem, o endereço IP / rede visitou novamente.

Se você precisar das informações registradas, você pode usar o alvo LOG no iptables:

/sbin/iptables -A INPUT -p tcp -m multiport --dports 20,21,25,143 -j LOG --log-prefix "iptables: "
/sbin/iptables -A INPUT -p tcp -m multiport --dports 20,21,25,143 -j DROP

A primeira linha registra a tentativa de conexão (para syslog ou o que você configurou) prefixando-a com "iptables:" para que você possa fazer uma busca mais fácil ou ter a saída redirecionada pelo syslog para um iptables.log especial por exemplo. Um salto de LOG sempre retorna à cadeia onde a tentativa de conexão é descartada pela segunda regra.

Veja também a resposta do @sputnick para a taxa adicional que limita essas entradas de log para evitar spam.

    
por 12.04.2013 / 01:34