私のルーターはLinuxをオペレーティングシステムとして使用します。システムログには、私が理解できないiptableとklogdの行がたくさんあります。誰かが私に説明できますか?
iptables設定:
iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
iptables -A INPUT -i ppp33 -j DROP
iptables -A FORWARD -i ppp33 -j DROP
サンプルログ行:
klogd: Intrusion -> IN=ppp33 OUT= MAC= SRC=188.11.48.248 DST=2.40.146.60 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=12802 DF PROTO=TCP SPT=60584 DPT=64137 WINDOW=8192 RES=0x00 SYN URGP=0
klogd: Intrusion -> IN=ppp33 OUT= MAC= SRC=188.11.48.248 DST=2.40.146.60 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=12889 DF PROTO=TCP SPT=60584 DPT=64137 WINDOW=8192 RES=0x00 SYN URGP=0
ベストアンサー1
iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
これは、インターフェイスにターゲットppp33192.168.1.101:44447に対するすべての要求に対してNAT(Network Address Translation)が設定されていることを意味します。
iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT
このルールは、リクエストが 192.168.1.101 ホストに転送されることを保証することで、以前のルールを補完します。
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
規則によれば、TCPパケットでSYNフラグだけを見ると、1時間あたり最大6つの「侵入」が記録されます(呼び出してくれたGillesに感謝します)。これは通常、管理者がステルスネットワーク検索を検出するのに役立ちます。これは、ホストへのすべてのインバウンドTCPに対して機能します。
iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
これは上記と同じですが、このホストのNATの背後にある他のホストに向かうすべてのTCPパケットに対していくつかの変換を実行できます。
iptables -A INPUT -i ppp33 -j DROP
これは包括的なルールです。上記の規則に準拠していないこのホストへの他のトラフィックがある場合は、接続を削除してください。
iptables -A FORWARD -i ppp33 -j DROP
以前と同じルールですが、このシステムが転送できる他のシステムに転送できるすべての接続を削除します。