CentOS 서버에서 Block Abuse IP를 사용하여 iptables모든 서비스/포트에 대한 모든 연결 시도를 제거했습니다 .
실제로 해당 IP를 가진 서버는 봇넷의 일부였을 수도 있고, 내가 차단한 후 삭제되었을 수도 있습니다. IP를 먼저 잠금 해제하지 않고도 IP 잠금을 해제할지 여부를 결정할 수 있도록 서버가 여전히 서버를 공격하려고 하는지 알고 싶습니다.
iptables비슷한 IP를 찾기 위해 /var/log를 검색 하고 문제의 IP를 찾기 위해 grep /var/log/secure를 검색해 보았지만 아무것도 찾지 못했습니다.
끊어진 연결 시도를 기록하는 로그가 있습니까? iptables아니면 시도를 기록하지만 여전히 삭제하도록 규칙을 구성하는 방법이 있습니까?
답변1
다른 답변 외에도 iptables -v -L특정 규칙에 대해 통과된 패킷 및 바이트 수가 나열되어 삭제되는 트래픽의 양을 확인할 수 있으며 해당 정보를 구문 분석하고 보고하는 도구를 작성하는 것이 그리 어렵지 않습니다.
답변2
LOG대상을 사용하여 명시적으로 패킷을 기록 해야 합니다 . DROPAbuse IP 규칙과 동일한 조건을 -j LOG사용하여 체인에 규칙을 추가할 수 있습니다 -j DROP.
또한 특정 로그 접두사를 사용 --log-prefix하고 특정 로그 수준을 사용할 수 있습니다 --log-level. 로그 범람을 방지하기 위해 속도 제한을 지정하는 것도 일반적입니다... 참조iptables 문서더 알아보기.
답변3
삭제된 패킷에 대한 로그 체인을 설정해야 합니다. 이 작업에 대한 좋은 튜토리얼이 있습니다.http://www.thegeekstuff.com/2012/08/iptables-log-packets/현재 규칙 세트에 다음과 유사한 내용을 추가하는 것으로 요약됩니다.
iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP