簡單使用 iptables 記錄 LOG GNU Linux

man iptables

man ip6tables

http://www.frozentux.net/documents/iptables-tutorial/

 

 

＊記錄全部要丟的包＊

建一個新鍊

iptables -N LOGGING

input 鏈尾加一個調件，你的 input 鏈應該是 DROP，input 鏈要丟的連到新的記錄鏈

iptables -A INPUT -j LOGGING

創建記錄鏈調件

iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables Logging: " --log-level 7

創建記錄鏈調件

iptables -A LOGGING -j DROP

在 /etc/syslog.conf 或 /etc/rsyslog.conf，有記錄設定

...
kern.*                          -/var/log/kern.log
...

在 /var/log/kern.log 讀 log

...
Jun 6 10:42:01 gnu-linux-debian kernel: [ 5828.928197] IPTables Logging: IN=eth1 out= MAC=xxx SRC=192.168.1.剎叉詫 DST＝192.168.1.詫叉剎 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=29155 PROTO=UDP SPT=137 DPT=137 LEN=58
...

 

IN = 入口
OUT = 出口
MAC = MAC 地址
SRC = 源 IP 地址
DST = 目地 IP 地址
LEN = 包長
TOS = 服務類行 (包傳輸優化)
PREC = 引用單元 bits
TTL = 生存時間
ID = 包標識符
PROTO = 協議
SPT = 源端口
DPT = 目地端口
WINDOW = Size of TCP window
RES = Reserved bits
ACK = Acknowledge bit set
URGP = Urgent packet