방화벽이 있고 iptables모든 DROP 패킷을 로깅하거나 거부합니다. ICMP 패킷을 기록하지 말라고 말하고 싶습니다. 내가 뭐라고 말해야 해?
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [24:5541]
:DROPLOG - [0:0]
-A INPUT -s 108.34.21.45 -j ACCEPT
-A INPUT -s 210.23.72.22 -j ACCEPT
-A INPUT -s 108.35.98.7 -j ACCEPT
-A INPUT -s 167.98.200.1 -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -s 172.56.21.10 -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -s 185.201.88.91 -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -j DROPLOG
-A DROPLOG -j LOG --log-prefix "DENY: " --log-level 6
-A DROPLOG -j DROP
COMMIT
다음은 로그 예입니다.
DENY: IN=eth0 OUT= MAC=00:36:55:7a:3b:6c:00:31:d7:ba:a4:00:08:00 SRC=84.137.71.48 DST=108.101.99.137 LEN=88 TOS=0x00 PREC=0x00 TTL=118 ID=21684 PROTO=ICMP TYPE=3 CODE=3 [SRC=108.101.99.137 DST=192.168.2.102 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=0 DF PROTO=UDP SPT=21458 DPT=62936 LEN=40 ]
내 디스크를 가득 채우는 멍청한 로그를 따라가면...ICMP를 무시하라는 말을 듣고 싶습니다 iptables. limit나는 ICMP 메시지에 관심이 없기 때문에 그것을 사용하고 싶지 않습니다 .
답변1
다음을 삽입하는 것이 좋습니다.
-A INPUT -p icmp -j DROP
앞으로
-A INPUT -j DROPLOG
ICMP 패킷을 삭제하고 로깅(및 삭제)을 위해 다른 패킷을 DROPLOG로 보냅니다.