我尝试使用预路由规则将传入数据包重定向到内部虚拟 IP 地址。
如何在传入数据包被重定向之前记录该数据包?
iptables -t nat -A PREROUTING -d 46.X.XX.XX -s 78.XX.XX.XX -p tcp --dport 80 --sport 1024: -j DNAT --to-destination 192.168.122.10:8080
以下规则不起作用。
iptables -t nat -A PREROUTING -d 0/0 -s 0/0 -p tcp -j LOG --log-level 4
iptables -t nat -I PREROUTING -d 0/0 -s 0/0 -p tcp -j LOG --log-level 4
您需要将日志记录规则放在规则的开头。
# iptables -I INPUT 1 -m limit --limit 5/m -j LOG --log-prefix="iptables: dropped packets" --log-level 4
-I INPUT 1
:这意味着将规则附加到 INPUT 链的第一个位置,就在其他任何内容之前。
-m limit
:这表明我们希望使用限制匹配模块。使用此功能,我们可以使用 –limit 选项限制日志记录。
--limit 5/m
:这是我们刚才谈到的限制选项。这意味着我们希望将日志记录的最大平均匹配率限制为每分钟 5 个。您还可以根据您的环境和需求指定5次/秒、40次/分钟、1次/小时、3次/天等。
-j LOG
:这告诉 iptables 跳转到 LOG,即写入日志文件。
-–log-prefix
“iptables:丢弃的数据包”:您可以指定任何日志前缀,该前缀将附加到将写入 /var/log/messages 文件的日志消息中
-–log-level 4
:系统日志级别 4 代表警告。您可以使用 0 到 7 范围内的数字。0 表示紧急情况下的最高值,7 表示调试时的最低值。
src http://web.archive.org/web/20150325103357/http://linuxdrops.com/how-to-log-iptables-firewall-packets-to-a-log-file/
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)