linux下记录入站请求

将内网机器通过frp映射到公网后，内网主机受到大量ssh爆破攻击，攻击来源为frp的服务端，仅在内网机器上无法追踪到真实的攻击来源的ip。下面记录了在frp服务端监控指定端口的入站数据，找到真正的攻击来源。

1. iptables 记录所有访问2130端口(内网ssh映射到frps的端口)的连接并写入日志

iptables -A INPUT -p tcp --dport 2130 -j LOG --log-prefix="[ssh-to-130] "

2. 将日志重定向到单独文件。在/etc/rsyslog.d/路径下新建配置文件 ssh2130.conf  文件内容如下

:msg,contains,"[ssh-to-130]" /var/log/ssh2130.log

3. 重启rsyslog，加载配置

/etc/init.d/rsyslog restart

4. 日志文件拆分与清理 。在etc/logrotate.d/路径下新建配置文件 ssh2130，文件内容如下

/var/log/ssh2130.log {
    daily
    rotate 7
    compress
    missingok
}

每天重新生成日志，并保留最近7天日志