监控IP地址

手册/FAQ (541) 2011-08-09 16:28:55

    当指定源的TCP连接发起(SYN)数据包穿过iptables链时,CLI的csf --watch [ip] (csf -w [ip])
    选项和WATCH_MODE配置选项会将其记录下来。
    此功能在跟踪iptables拒绝或接受IP地址的地点时很有用。
    应使用WATCH_MODE监控IP地址,虽然没有它csf -w [ip]功能仍然可用,但它不提供数据包最后目的地的确凿信息。
    默认情况下WATCH_MODE是关闭的,除非监控IP地址会给所有接收的iptables流量添加overhead插件和增加系统日志记录的iptables内核总量,否则应该关闭WATCH_MODE。
    WATCH_MODE 禁用: DROP_NOLOG, PS_INTERVAL, DROP_ONLYRES
    WATCH_MODE 启用d: DROP_LOGGING, DROP_IP_LOGGING, DROP_PF_LOGGING
    WATCH_MODE 记录被监控IP地址接收的iptables
    您每次应只监控少数IP地址,且监控时间不宜过长。否则,内核日志(通常/var/log/messages)将全是记录。日志规则不包括在监控时添加的被监控IP地址的任何规则。
    IP地址监控不能在csf(iptables)重启时进行。
    您可以给csf -w [ip]使用IP地址或CIDR地址。
    使用此功能的方法推荐:
    1.启用WATCH_MODE
    2.重启 csf
    3.重启 lfd
    4.使用以下命令监控IP:csf -w 11.22.33.44
    5.监控内核iptables里被监控IP地址的点击记录
    监控IP地址结束时您应该:
    1.禁用WATCH_MODE
    2.重启 csf(同时删除被监控IP的规则)
    3.重启 lfd
    内核iptables记录监控IP行(通常是在/var/log/messages)
    包含数据包在链内的方向以及链名称,例如:I:INPUT 是指
    进入INPUT链,O:LOCALINPUT 是指从LOCALINPUT链传出。
    以下是监控连接到端口22的192.168.254.4地址的记录摘要:
    Firewall: I:INPUT SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
    Firewall: I:LOCALINPUT SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
    Firewall: I:GDENYIN SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
    Firewall: O:GDENYIN SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
    Firewall: I:DSHIELD SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
    Firewall: O:DSHIELD SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
    Firewall: I:SPAMHAUS SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
    Firewall: O:SPAMHAUS SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
    Firewall: O:LOCALINPUT SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
    Firewall: I:INVALID SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
    Firewall: O:INVALID SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
    Firewall: I:LOGACCEPT SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22

THE END