iptables之LOG目标 被拦截包分析

iptables之LOG目标

问题

在iptables的INPUT链中发现有大量未知包被拦截,这种情况就有两种可能,一是自己的某个服务的iptables端口没有打开,二是服务器正在遭受攻击

分析

这就要看那些被拦截的包来源于哪里,正在访问哪个端口。于是iptables的LOG目标被派上用场。

  • 指定log文件(可选, 默认在/var/log/messages)。服务器系统版本为CentOS release 6.6 (Final), 使用了rsyslog代替了syslog,在/etc/rsyslog.conf文件末尾添加kern.=notice /var/log/firewall.log
  • 增加iptables规则。我的INPUT链中最后一条,也就是第二十条为REJECT所有包。所以有iptables -I INPUT 20 -j LOG --log-level 5 --log-prefix "IPTABLES:"
  • 查看日志。分析哪些包是有用的或危险的,tail -f /var/log/firewall.log

解决

根据实际情况调整防火墙规则

参考:
iptables之LOG目标

posted @ 2016-11-25 20:31  回首郑板桥  阅读(654)  评论(0编辑  收藏  举报