서버에서 포트 스캔을 방지하기 위해 다음과 같은 iptables 규칙이 있습니다.
/sbin/iptables -A INPUT -m state --state NEW -m set ! --match-set scanned_ports src,dst -m hashlimit --hashlimit-above 1/hour --hashlimit-burst 5 --hashlimit-mode srcip --hashlimit-name portscan --hashlimit-htable-expire 10000 -j SET --add-set port_scanners src --exist
/sbin/iptables -A INPUT -m state --state NEW -m set --match-set port_scanners src -j DROP
/sbin/iptables -A INPUT -m state --state NEW -j SET --add-set scanned_ports src,dst
현재 어떤 IP가 잠겨 있는지 확인하는 방법은 무엇입니까? 포트 스캔을 시도하는 모든 IP를 기록하는 스크립트를 작성하고 싶습니다.
감사해요
답변1
로깅은 iptables에 내장되어 있습니다. iptables 찾기 LOGGING은 설정이 매우 쉽습니다. 이와 같은 방법은 삭제된 모든 IP 주소를 가져와 /var/log/messages에 저장합니다.
iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP
기본적으로 /var/log/messages로 이동하지만 /etc/syslog.conf에 다음을 추가한 다음 /var/log/dropped.log를 터치하여 다른 항목으로 리디렉션할 수 있습니다.
kern.warning /var/log/dropped.log