1

В iptables я бы добавил запись в каждое место, где вызывается DROP.

Однако, поскольку в производственной среде я мог встречаться с разными таблицами, я просто хотел бы расширить все правила, содержащие цель DROP, и я не хочу проходить через утомительный процесс переписывания каждого правила вручную. Следовательно, я задаюсь вопросом - есть ли способ просто изменить или добавить префикс журнала в ряде соответствующих правил, чтобы добавить пользовательскую строку, скажем, "УДАЛЕНО" ...? Таким образом, если я добавлю аналогичную запись в таблицу PREROUTING, я смогу обнаружить все пакеты в диапазоне портов, где за PREROUTING не следует DROPPED, что указывало бы на прохождение пакета, что, в конечном счете, я хотел бы обнаружить.

Либо так, либо, если есть другой лучший способ ...

1 ответ1

2

Вот один из лучших вариантов.

iptables -N myDrop
iptables -A myDrop -j LOG --log-prefix "dropping " --log-level 7 --log-tcp-sequence --log-tcp-options --log-ip-options
iptables -A myDrop -j DROP

Теперь вместо -j DROP сделайте -j myDrop, и он будет зарегистрирован.

Вы можете настроить ulogd и войти в ряд других мест назначения, включая базу данных.

iptables -A myDrop -j NFLOG --nflog-prefix  banned_hosts --nflog-group 1

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .