Предположим, я добавляю IP-адрес в iptables, блокируя exim, dovecot и FTP, и этот IP-адрес снова посещает мой сервер.
Есть ли какой-либо журнал этого посещения, чтобы я мог подтвердить, что IP-адрес снова пытался связаться с сервером, но был заблокирован?
решение1
Попробуйте сделать это:
iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
решение2
Если вы заблокируете определенный IP-адрес (или сеть), вы можете просмотреть количество срабатываний правила блокировки через iptables -L -vn. Если счетчики пакетов и байтов увеличиваются, IP-адрес/сеть были посещены снова.
Если вам необходимо зарегистрировать информацию, вы можете использовать цель LOG в iptables:
/sbin/iptables -A INPUT -p tcp -m multiport --dports 20,21,25,143 -j LOG --log-prefix "iptables: "
/sbin/iptables -A INPUT -p tcp -m multiport --dports 20,21,25,143 -j DROP
Первая строка регистрирует попытку подключения (к syslog или к тому, что вы настроили), добавляя к ней префикс "iptables:", чтобы вам было проще выполнить grep или перенаправить вывод syslog, например, в специальный iptables.log. LOG-jump всегда возвращается к цепочке, где попытка подключения теперь сбрасывается вторым правилом.
Также см. ответ @sputnick, чтобы дополнительно ограничить частоту этих записей в журнале для предотвращения спама в журналах.