如何记录Linux iptables防火墙Dropped Packets的日志

iptables的日志(log)由syslogd记录

创建一个DROP_PKTS的chain

然后，在DROP_PKTS chain里面添加如下rule：

iptables -A DROP_PKTS -m limit --limit 10/s -j LOG --log-level 4 --log-prefix \"[DROP]\"

iptables -A DROP_PKTS -j DROP

在对你想要DROP并且log的packet，添加如下规则（比如drop从blog.uouo123.com来的packet）：

iptables -I INPUT -s blog.uouo123.com -j DROP_PKTS

开启iptables的日志功能，在需要记录日志的规则链上增加LOG：规则后面的“--log-prefix '［IPTABLES DROP LOGS］:' --log-level debug”，主要用于设置输出日志的前缀字符串以及日志的等级，可以不写。

192.168.246.200服务器实验。

如果不写 -t , 默认使用 filter 表

观察iptable规则添加的方法，删除和查询的方法。本案例并不是为了体验策略效果。

禁止自己被ping，在filter表的INPUT链插入一个丢弃icmp的规则。

自己不能ping别人，但是别人可以ping自己

本机可以ping其他机器。其他机器不能ping通本机

显示匹配：如端口匹配，IP范围，MAC地址，等特殊匹配

iptables -m iprange --help

语法： -m iprange --src-range

语法：

-m multiport --sports#源端口

-m multiport --dports#目的端口

拒绝MAC地址的匹配：只能匹配源MAC地址

语法: -m mac --mac-source

工作中。Mysql，Redis等服务一般放在内网服务器上，但是为了保证其绝对的安全性，可能会把防火墙打开，打开之后，需要我们配置一直规则，来拒绝大都数的访问，只允许指定的ip地址来访问自身的服务

---