linux 自定义Iptables日志与生成数量

最近想把公司的iptables防火墙重新规划一下下面先引用一下iptables与系统日志之间的关系

以下是官方原版：

Iptables default log file

For example, if you type the following command, it will display current iptables log from /var/log/messages file:

# tail -f /var/log/messages

Output:

Oct 4 01:14:19 debian kernel: IN=ra0 OUT= MAC=00:17:9a:0a:f6:44:00:08:5c:00:00:01:08:00 SRC=200.142.84.36 DST=192.168.1.2 LEN=60 TOS=0x00 PREC=0x00 TTL=51 ID=18374 DF PROTO=TCP SPT=46040 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0

Oct 4 00:13:55 debian kernel: IN=ra0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:18:de:55:0a:56:08:00 SRC=192.168.1.30 DST=192.168.1.255LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=13461 PROTO=UDP SPT=137 DPT=137 LEN=58

Procedure to log the iptables messages to a different log file

Open your /etc/syslog.conf file:

# vi /etc/syslog.conf

Append following line ：

kern.warning /var/log/iptables.log

Save and close the file.

Restart the syslogd (Debian / Ubuntu Linux):

# /etc/init.d/sysklogd restart On the other hand, use following command to restart syslogd under Red Hat/Cent OS/Fedora Core Linux:
# /etc/init.d/syslog restart

Now make sure you pass the log-level 4 option with log-prefix to iptables. For example:

# DROP everything and Log it

iptables -A INPUT -j LOG -–log-level 4

iptables -A INPUT -j DROP

For example, drop and log all connections from IP address 64.55.11.2 to your /var/log/iptables.log file:

iptables -A INPUT -s 64.55.11.2 -m limit --limit 5/m --limit-burst 7 -j LOG -–log-prefix ‘** HACKERS **’ --log-level 4

iptables -A INPUT -s 64.55.11.2 -j DROP

Where,

* --log-level 4: Level of logging. The level # 4 is for warning.

* --log-prefix ‘*** TEXT ***’: Prefix log messages with the specified prefix (TEXT); up to 29 letters long, and useful for distinguishing messages in the logs.

You can now see all iptables message logged to /var/log/iptables.log file:

# tail -f /var/log/iptables.log
！！！！！！！！！！！！版主翻译呢？？？ ~~~~~~呵呵其实不用翻译啦直接看代码就可以明白滴

之后我们来看日志与iptables的实际应用

Limit match

这个匹配操作必须由-m limit明确指定才能使用。有了他的帮助，就能对指定的规则的日志数量加以限制，以免你被信息的洪流淹没哦。比如，你能事先设定一个限定值，当符合条件的包的数量不超过他时，就记录；超过了，就不记录了。我们能控制某条规则在一段时间内的匹配次数（也就是能匹配的包的数量），这样就能够减少DoS syn flood攻击的影响。这是他的主要作用，当然，更有非常多其他作用（注：比如，对于某些不常用的服务能限制连接数量，以免影响其他服务）。limit match也能用英文感叹号取反，如：-m
limit ! --limit 5/s表示在数量超过限定值后，所有的包都会被匹配。

limit match的工作方式就像一个单位大门口的保安，当有人要进入时，需要找他办理通行证。早上上班时，保安手里有一定数量的通行证，来一个人，就签发一个，当通行证用完后，再来人就进不去了，但他们不会等，而是到别的地方去（在iptables里，这相当于一个包不符合某条规则，就会由后面的规则来处理，如果都不符合，就由缺省的策略处理）。但有个规定，每隔一段时间保安就要签发一个新的通行证。这样，后面来的人如果恰巧赶上，也就能进去了。如果没有人来，那通行证就保留下来，以备来的人用。如果一直没人来，可用的通行证的数量就增加了，但不是无限增大的，最多也就是刚开始时保安手里有的那个数量。也就是说，刚开始时，通行证的数量是有限的，但每隔一段时间就有新的通行证可用。limit
match有两个参数就对应这种情况，--limit-burst指定刚开始时有多少通行证可用，--limit指定要隔多长时间才能签发一个新的通行证。要注意的是，我这里强调的是“签发一个新的通行证”，这是以iptables的角度考虑的。在你自己写规则时，就要从这个角度考虑。比如，你指定了--limit 3/minute --limit-burst 5，意思是开始时有5个通行证，用完之后每20秒增加一个（这就是从iptables的角度看的，要是以用户的角度看，说法就是每一分钟增加三个或每分钟只能过三个）。你要是想每20分钟过一个，只能写成--limit
3/hour --limit-burst 5，也就是说你要把时间单位凑成整的。

Table 1?1. Limit match options

Match

--limit

Example

iptables -A INPUT -m limit --limit 3/hour

Explanation

为limit match设置最大平均匹配速率，也就是单位时间内limit match能匹配几个包。他的形式是个数值加一个时间单位，能是/second /minute /hour /day 。默认值是每小时3次（用户角度），即3/hour ，也就是每20分钟一次（iptables角度）。

Match

--limit-burst

Example

iptables -A INPUT -m limit --limit-burst 5

Explanation

这里定义的是limit match的峰值，就是在单位时间（这个时间由上面的--limit指定）内最多可匹配几个包（由此可见，--limit-burst的值要比--limit的大）。默认值是5。

假设如下的规则：

iptables -A INPUT -p icmp -m limit --limit 6/m --limit-burst 5 -j ACCEPT

iptables -P INPUT DROP

然后从另一部主机上ping这部主机，就会发生如下的现象：

首先我们能看到前四个包的回应都非常正常，然后从第五个包开始，我们每10秒能收到一个正常的回应。这是因为我们设定了单位时间(在这里是每分钟)内允许通过的数据包的个数是每分钟6个，也即每10秒钟一个；其次我们又设定了事件触发阀值为5，所以我们的前四个包都是正常的，只是从第五个包开始，限制规则开始生效，故只能每10秒收到一个正常回应。

假设我们停止ping，30秒后又开始ping，这时的现象是：

前两个包是正常的，从第三个包开始丢包，这是因为在这里我的允许一个包通过的周期是10秒，如果在一个周期内系统没有收到符合条件的包，系统的触发值就会恢复1，所以如果我们30秒内没有符合条件的包通过，系统的触发值就会恢复到3，如果5个周期内都没有符合条件的包通过，系统都触发值就会完全恢复