主页 / server / 问题 / 650351
Accepted
user35042
Asked: 2014-12-10 10:59:31 +0800 CST

使用 iptables 记录两个地址以外的连接

  • 772

我们想使用 iptables 记录所有网络连接,除非连接地址是A.B.C.D或连接地址是E.F.G.H。如果没有包含我们想要包含的地址的范围,这两个地址就不能组合成一个 CIDR 范围。通过添加以下 iptables 规则,我可以部分实现:

-I INPUT ! -s A.B.D.E -p tcp -m tcp --dport 3306 -m state --state NEW  -j LOG --log-level 1 --log-prefix "New Connection "

但是,这仍然会记录来自E.F.G.H. 有没有办法在不记录的情况下获取所有内容?

(这两个地址产生了很多连接,我们不需要记录它们。)

iptables

3 个回答

  1. Best Answer

    在您引用的特别允许 ABCD 或 EFGH 的行上方添加一两条规则,然后在其下方进行日志记录。iptables按照规则的顺序工作,因此允许较早通过是处理的结束。

    这也是您在大多数防火墙规则集的末尾添加通用“全部拒绝”的原因。如果您的上述规则未涵盖某些内容,请拒绝它,因为它是意料之外的并且可能是不受欢迎的。

    示例(根据需要进行调整,不要只是复制粘贴):

    -A INPUT -s A.B.C.D -p tcp -m tcp --dport 3306 -m state --state NEW -j ACCEPT
-A INPUT -s E.F.G.H -p tcp -m tcp --dport 3306 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -m state --state NEW  -j LOG --log-level 1 --log-prefix "New Connection "
-A INPUT -j DROP
    • 1

  2. 您可以创建一个自定义链,可以命名为LOG_UNLESS,然后您可以执行以下操作:

    -A INPUT -p tcp -m tcp --dport 3306 -m state --state NEW -j LOG_UNLESS
-A LOG_UNLESS -s 192.0.2.1 -j RETURN
-A LOG_UNLESS -s 203.0.113.2 -j RETURN
-A LOG_UNLESS -j LOG --log-level 1 --log-prefix "New Connection "
    • 0

  3. 另一种选择是使用ipset.

    首先,创建正确的 IP 集:

    ipset create DO_NOT_LOG hash:ip

    然后,添加要排除的地址:

    ipset add DO_NOT_LOG A.B.C.D
ipset add DO_NOT_LOG E.F.G.H

    最后,在 iptables 日志记录规则上,添加一个否定匹配:

    -I INPUT -m set ! --match-set DO_NOT_LOG src -p tcp -m tcp --dport 3306 -m state --state NEW  -j LOG --log-level 1 --log-prefix "New Connection "

    ! --match-set DO_NOT_LOG src意思是:“匹配源(src)地址不在DO_NOT_LOG集合中的数据包”

    • 0

相关问题