GNU/Linux >> Tutoriels Linux >  >> Linux

Signification des entrées de journal d'une configuration iptables

iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101

Cela signifie que votre interface ppp33 dispose d'une configuration de traduction d'adresses réseau (NAT) pour toutes les requêtes vers la destination 192.168.1.101:44447.

iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT

Cette règle complète la règle précédente en garantissant que la requête est transmise à l'hôte 192.168.1.101.

iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "

Cette règle stipule que lorsqu'il ne voit que des drapeaux SYN dans un paquet TCP, il enregistrera "Intrusion" jusqu'à 6 fois par heure (merci Gilles pour l'appel). Ceci est généralement fait pour aider un administrateur à découvrir les analyses de réseau Stealth. C'est pour tous les tcp entrants vers l'hôte.

iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "

C'est la même chose que ci-dessus, mais pour tous les paquets TCP destinés à d'autres hôtes qui se trouvent derrière cet hôte NAT pour lequel il peut effectuer une traduction.

iptables -A INPUT -i ppp33 -j DROP

C'est une règle qui englobe tout. Si vous voyez un autre trafic destiné à cet hôte ET qui ne respecte pas les règles ci-dessus, ABANDONNEZ la connexion.

iptables -A FORWARD -i ppp33 -j DROP

Identique à la règle précédente, mais DROP connexions pour tout ce qui peut être transféré sur une autre machine vers laquelle cette machine peut transférer.


iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101

Les paquets TCP envoyés à l'interface PPP (c'est-à-dire du côté Internet) sur le port 44447 sont renvoyés à l'adresse IP 192.168.1.101, qui se trouve dans la plage du réseau privé. Le routeur exécute NAT, spécifiquement DNAT. Cela signifie que les hôtes externes peuvent atteindre votre 192.168.1.101 sur le port 44447 en contactant votre routeur.

iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "

Cette ligne enregistre les paquets TCP SYN (paquets qui (tentent d'établir) une connexion), provenant d'Internet. Tous ces paquets sont enregistrés sauf ceux qui sont redirigés plus tôt par la règle PREROUTING. Cependant, il existe une limite de débit pour la journalisation :pas plus de 6 de ces paquets sont enregistrés dans une fenêtre d'une heure, les suivants sont ignorés.

iptables -A INPUT -i ppp33 -j DROP

Tout autre paquet entrant est ignoré en silence.

La journalisation de ces tentatives de connexion est assez ennuyeuse. Toute machine connectée à Internet est souvent analysée par divers robots à la recherche de vulnérabilités potentielles. Vous devez bloquer les connexions entrantes, sauf pour les ports contrôlés. Il est très peu probable que vous obteniez une quelconque valeur des journaux des tentatives de connexion bloquées.


Linux
  1. Autoriser le trafic Web dans le pare-feu logiciel iptables

  2. Bloquer la plage IP des pays avec GeoIP et iptables

  3. Mesurer le trafic à partir du journal d'accès apache

  4. syntaxe du fichier de configuration logrotate - plusieurs entrées génériques possibles ?

  5. Supprimer les N premières lignes d'un fichier journal actif

Comment configurer le pare-feu Iptables sur CentOS

Comment redémarrer Icewm depuis la ligne de commande ?

Comment restaurer la configuration d'Exim à partir de WHM ?

Procédure :configuration de base des fichiers IPTables

Comment prendre la sauvegarde de la configuration Exim de WHM ?

Comment créer une configuration Rsyslog de journalisation centralisée