linux iptables在一个规则中删除和删除

n3schb8v  于 2024-01-06  发布在  Linux
关注(0)|答案(6)|浏览(155)

我尝试使用iptables记录传出连接。我想要的是,在记录它们的同时删除并接受连接。我发现-j选项需要DROP/RESTATE/ACCEPT/RESTATE。但我想做一些像DROP和RESTATE或ACCEPT和RESTATE的事情。有没有方法可以实现这一点?

linux

6条答案

按热度按时间
2lpgd968

2lpgd9681#

虽然已经一年多了,我偶然发现这个问题在其他谷歌搜索几次,我相信我可以改善以前的答案为他人的利益。
简短的回答是,你不能在一行中合并组合这两个动作,但你可以创建一个链,做你想做的,然后在一行中调用它。
让我们创建一个链来记录和接受:

  1. iptables -N LOG_ACCEPT

字符串
让我们填充它的规则:

  1. iptables -A LOG_ACCEPT -j LOG --log-level 6 --log-prefix "INPUT:ACCEPT: "
  2. iptables -A LOG_ACCEPT -j ACCEPT


现在让我们创建一个链来记录和删除:

  1. iptables -N LOG_DROP


让我们填充它的规则:

  1. iptables -A LOG_DROP -j LOG --log-level 6 --log-prefix "INPUT:DROP: "
  2. iptables -A LOG_DROP -j DROP


现在,你可以通过跳转(-j)到你的自定义链而不是默认的删除/接受/删除/删除来一次性完成所有操作:

  1. iptables -A <your_chain_here> <your_conditions_here> -j LOG_ACCEPT
  2. iptables -A <your_chain_here> <your_conditions_here> -j LOG_DROP

展开查看全部
赞(0)分享  回复(0)举报  2024-01-06
qacovj5a

qacovj5a2#

范例:

  1. iptables -A INPUT -j LOG --log-prefix "INPUT:DROP:" --log-level 6
  2. iptables -A INPUT -j DROP

字符串
日志示例:

  1. Feb 19 14:18:06 servername kernel: INPUT:DROP:IN=eth1 OUT= MAC=aa:bb:cc:dd:ee:ff:11:22:33:44:55:66:77:88 SRC=x.x.x.x DST=x.x.x.x LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=x PROTO=TCP SPT=x DPT=x WINDOW=x RES=0x00 SYN URGP=0


其他选项:

  1. LOG
  2.        Turn on kernel logging of matching packets.  When this option 
  3.        is set for a rule, the Linux kernel will print some 
  4.        information  on  all  matching  packets
  5.        (like most IP header fields) via the kernel log (where it can 
  6.        be read with dmesg or syslogd(8)).  This is a "non-terminating 
  7.        target", i.e. rule traversal
  8.        continues at the next rule.  So if you want to LOG the packets 
  9.        you refuse, use two separate rules with the same matching 
  10.        criteria, first using target LOG
  11.        then DROP (or REJECT).
  13.        --log-level level
  14.               Level of logging (numeric or see syslog.conf(5)).
  16.        --log-prefix prefix
  17.               Prefix log messages with the specified prefix; up to 29 
  18.               letters long, and useful for distinguishing messages in 
  19.               the logs.
  21.        --log-tcp-sequence
  22.               Log TCP sequence numbers. This is a security risk if the 
  23.               log is readable by users.
  25.        --log-tcp-options
  26.               Log options from the TCP packet header.
  28.        --log-ip-options
  29.               Log options from the IP packet header.
  31.        --log-uid
  32.               Log the userid of the process which generated the packet.

展开查看全部
赞(0)分享  回复(0)举报  2024-01-06
az31mfrm

az31mfrm3#

在工作中,我需要使用iptables记录和阻止端口993(IMAPS)和995(POP3S)上的SSLv3连接。因此,我将Gert货车Dijk的How to take down SSLv3 in your network using iptables firewall? (POODLE)与Prevok的answer结合起来,得出了这样的结果:

  1. iptables -N SSLv3
  2. iptables -A SSLv3 -j LOG --log-prefix "SSLv3 Client Hello detected: "
  3. iptables -A SSLv3 -j DROP
  4. iptables -A INPUT \
  5.   -p tcp \! -f -m multiport --dports 993,995 \
  6.   -m state --state ESTABLISHED -m u32 --u32 \
  7.   "0>>22&0x3C@ 12>>26&0x3C@ 0 & 0xFFFFFF00=0x16030000 && \
  8.    0>>22&0x3C@ 12>>26&0x3C@ 2 & 0xFF=0x01 && \
  9.    0>>22&0x3C@ 12>>26&0x3C@ 7 & 0xFFFF=0x0300" \
  10.   -j SSLv3

字符串

说明

1.对于LOGDROP,创建一个自定义链(例如SSLv3):

  1. iptables -N SSLv3
  2. iptables -A SSLv3 -j LOG --log-prefix "SSLv3 Client Hello detected: "
  3. iptables -A SSLv3 -j DROP


1.然后,将您想要的LOGDROP重定向到该链(请参阅-j SSLv3):

  1. iptables -A INPUT \
  2.   -p tcp \! -f -m multiport --dports 993,995 \
  3.   -m state --state ESTABLISHED -m u32 --u32 \
  4.   "0>>22&0x3C@ 12>>26&0x3C@ 0 & 0xFFFFFF00=0x16030000 && \
  5.    0>>22&0x3C@ 12>>26&0x3C@ 2 & 0xFF=0x01 && \
  6.    0>>22&0x3C@ 12>>26&0x3C@ 7 & 0xFFFF=0x0300" \
  7.   -j SSLv3

**注意:**注意规则的顺序。这些规则对我不起作用,直到我把它们放在我的防火墙脚本上的这个上面:

  1. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

展开查看全部
赞(0)分享  回复(0)举报  2024-01-06
wsxa1bj1

wsxa1bj14#

nflog更好

  1. sudo apt-get -y install ulogd2

字符串
阻止规则示例:

  1. iptables=/sbin/iptables
  2. # Drop ICMP (PING)
  3. $iptables -t mangle -A PREROUTING -p icmp -j NFLOG --nflog-prefix 'ICMP Block'
  4. $iptables -t mangle -A PREROUTING -p icmp -j DROP


您可以在日志中搜索前缀“阻塞”:

  1. /var/log/ulog/syslogemu.log

展开查看全部
赞(0)分享  回复(0)举报  2024-01-06
5jdjgkvh

5jdjgkvh5#

我已经创建了一个新的内核模块“xt_LOGD”来在一个规则中完成这一任务。
这是特别开发的,以最大限度地减少记录和丢弃每个规则具有不同日志前缀的数据包所需的规则数量。
https://github.com/MuriloChianfa/xtables-log-and-drop
使用这个,你可以在相同的规则中记录和丢弃数据包:

  1. iptables -A INPUT -p tcp --dport 80 -j LOGD --log-prefix "DROP HTTP PORT"

字符串
代替

  1. iptables -A INPUT -p tcp --dport 80 -j LOG --log-prefix "DROP HTTP PORT"
  2. iptables -A INPUT -p tcp --dport 80 -j DROP


这只会改变XT_CONTINUE返回常量,该常量默认情况下由NF-DROP模块中的NF-DROP源代码提供,如果你想要另一个目标,如NF-DROP或ACCEPT,你可以自己更改它:https://github.com/torvalds/linux/blob/33cc938e65a98f1d29d0a18403dbbee050dcad9a/net/netfilter/xt_LOG.c#L41

展开查看全部
赞(0)分享  回复(0)举报  2024-01-06
agxfikkp

agxfikkp6#

对于中国GFW:

  1. sudo iptables -I INPUT -s 173.194.0.0/16 -p tcp --tcp-flags RST RST -j DROP
  2. sudo iptables -I INPUT -s 173.194.0.0/16 -p tcp --tcp-flags RST RST -j LOG --log-prefix "drop rst"
  4. sudo iptables -I INPUT -s 64.233.0.0/16 -p tcp --tcp-flags RST RST -j DROP
  5. sudo iptables -I INPUT -s 64.233.0.0/16 -p tcp --tcp-flags RST RST -j LOG --log-prefix "drop rst"
  7. sudo iptables -I INPUT -s 74.125.0.0/16 -p tcp --tcp-flags RST RST -j DROP
  8. sudo iptables -I INPUT -s 74.125.0.0/16 -p tcp --tcp-flags RST RST -j LOG --log-prefix "drop rst"

字符串

赞(0)分享  回复(0)举报  2024-01-06
我来回答

相关问题

    查看更多

    热门标签

    更多
    JavaquerypythonNode开发语言requestUtil数据库Table后端算法LoggerMessageElementParser

    最新问答

    更多
    • 蜀ICP备13028337号-1 大数据知识库 https://www.saoniuhuo.com © All rights reserved
    • 本站内容来源互联网,如果侵犯您的权益请联系我们删除, 联系方式:448109455@qq.com