iptables学习与研究(使用LOG记录失败日志)

原文地址： http://blog.csdn.net/fafa211/article/details/2307581

通常情况下，iptables的默认政策为DROP，不匹配的数据包将被直接丢弃。但在丢弃之前建议把信息记录下来，以使你了解哪些信息没有通过规则，有时可依此判断是否有人在尝试攻击你的服务器。

下面给出一个用来详细记录未匹配规则的数据包的iptables规则：

#记录下未符合规则的udp数据包，然后丢弃之。

#iptables -A INPUT -i $IFACE -p udp -j LOG --log-prefix "IPTABLES UDP-IN: " 
#iptables -A INPUT -i $IFACE -p udp -j DROP 
#iptables -A OUTPUT -o $IFACE -p udp -j LOG --log-prefix "IPTABLES UDP-OUT: " 
#iptables -A OUTPUT -o $IFACE -p udp -j DROP

# 记录下未符合规则的icmp数据包，然后丢弃之。

#iptables -A INPUT -i $IFACE -p icmp -j LOG --log-prefix "IPTABLES ICMP-IN: " 
#iptables -A INPUT -i $IFACE -p icmp -j DROP 
#iptables -A OUTPUT -o $IFACE -p icmp -j LOG --log-prefix "IPTABLES ICMP-OUT: " 
#iptables -A OUTPUT -o $IFACE -p icmp -j DROP

# 记录下未符合规则的tcp数据包，然后丢弃之。

iptables -A INPUT -i $IFACE -p tcp -j LOG --log-prefix "IPTABLES TCP-IN: " 
iptables -A INPUT -i $IFACE -p tcp -j DROP 
iptables -A OUTPUT -o $IFACE -p tcp -j LOG --log-prefix "IPTABLES TCP-OUT: " 
iptables -A OUTPUT -o $IFACE -p tcp -j DROP

# 记录下其他未符合规则的数据包，然后丢弃之。

iptables -A INPUT -i $IFACE -j LOG --log-prefix "IPTABLES PROTOCOL-X-IN: " 
iptables -A INPUT -i $IFACE -j DROP 
iptables -A OUTPUT -o $IFACE -j LOG --log-prefix "IPTABLES PROTOCOL-X-OUT: " 
iptables -A OUTPUT -o $IFACE -j DROP

加上适当的记录日志前缀，可以方便对日志进行分析。 日志通常记录在/var/log/message文件中。如，可以使用 cat /var/log/message | grep "IPTABLES UDP-IN: "  查找出你需要的日志信息。 当然为了防止日志文件过大，你也可以对日志文件记录进行限制，如可以在-j LOG 命令 前加上-m limit --limit 6/h --limit-burst 5