Angenommen, ich füge der Iptables-Blockierung für Exim, Dovecot und FTP eine IP hinzu und diese IP besucht meinen Server erneut.
Gibt es ein Protokoll dieses Besuchs, sodass ich bestätigen kann, dass die IP erneut versucht hat, den Server zu erreichen, aber blockiert wurde?
Antwort1
Versuchen Sie Folgendes:
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
Antwort2
Wenn Sie eine bestimmte IP-Adresse (oder ein bestimmtes Netz) blockieren, können Sie die Trefferanzahl der Blockierungsregel über anzeigen iptables -L -vn. Wenn die Zähler für Pakete und Bytes ansteigen, wurde die IP-Adresse/das Netz erneut besucht.
Wenn Sie die Informationen protokollieren müssen, können Sie das LOG-Ziel in iptables verwenden:
/sbin/iptables -A INPUT -p tcp -m multiport --dports 20,21,25,143 -j LOG --log-prefix "iptables: "
/sbin/iptables -A INPUT -p tcp -m multiport --dports 20,21,25,143 -j DROP
Die erste Zeile protokolliert den Verbindungsversuch (in Syslog oder was auch immer Sie konfiguriert haben) und stellt ihm das Präfix "iptables:" voran, damit Sie einfacher greppen oder die Ausgabe von Syslog beispielsweise in ein spezielles iptables.log umleiten lassen können. Ein LOG-Sprung kehrt immer zur Kette zurück, in der der Verbindungsversuch nun durch die zweite Regel verworfen wird.
Siehe auch die Antwort von @sputnick zur zusätzlichen Ratenbegrenzung dieser Protokolleinträge, um Logspam zu verhindern.