Значение записей в журнале из iptables конфигурации
iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
Это означает что Ваш интерфейс ppp33 имеет установку Преобразования сетевых адресов (NAT) для всех запросов месту назначения 192.168.1.101:44447.
iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT
Это правило дополняет предыдущее правило путем обеспечения, что запрос передается к этим 192.168.1.101 хостам.
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
Это управляет государствами, что, когда это видит, SYN отмечает только в пакете TCP, это зарегистрируется, "Проникновение" до 6 раз в час (благодарит Gilles за вызов). Это обычно делается, чтобы помочь администратору обнаружить сканирования сети Stealth. Это для всех tcp входящее к хосту.
iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
Это совпадает с вышеупомянутым, но для всех пакетов TCP, предназначенных к другим хостам, которые находятся позади этого, размещает NAT, для которого оно может делать некоторый перевод.
iptables -A INPUT -i ppp33 -j DROP
Это - правило, которое все охватывает. Если Вы видите любой другой трафик, который предназначается для этого хоста И не выполняет вышеупомянутые правила, ОТБРАСЫВАЕТ соединение.
iptables -A FORWARD -i ppp33 -j DROP
То же как предыдущее правило, но соединения ОТБРАСЫВАНИЯ для чего-либо, что может быть передано на другую машину, которой может передать эта машина.
-
1, “когда это видит 6 SYN, отмечает только в пакете TCP в течение 1 часа”: нет, это не это. Предел является ограничением скорости соответствия: правило не будет стрелять чаще, чем 6 раз в час. Царапина – Gilles 'SO- stop being evil' 07.11.2012, 02:54
-
2, мое плохое. Обновленный. (И затем я замечаю, что Вы отправили, извините :-/) – sparticvs 07.11.2012, 08:26
iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
Пакеты TCP, отправленные в интерфейс PPP (т.е. с интернет-стороны) на порте 44447, снова посылаются IP-адресу 192.168.1.101, который находится в диапазоне частной сети. Маршрутизатор выполняет NAT, конкретно DNAT. Это означает, что внешние хосты могут достигнуть Ваших 192.168.1.101 на порте 44447 путем контакта с маршрутизатором.
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
Эта строка регистрирует TCP пакеты SYN (пакеты, что (попытайтесь к), инициируйте соединение), входя из Интернета. Все такие пакеты зарегистрированы кроме тех, которые перенаправляются ранее правилом PREROUTING. Однако существует ограничение скорости для входа: не больше, чем 6 таких пакетов зарегистрированы 1-часовое окно, проигнорированы последующие.
iptables -A INPUT -i ppp33 -j DROP
Любой другой входящий пакет тихо отбрасывается.
Вход этих попыток подключения является довольно скучным. Любая машина, подключенная к Интернету, часто сканируется различными ботами, ища потенциальные уязвимости. Необходимо заблокировать входящие соединения кроме к исследуемым портам. Вы очень вряд ли получите любое значение от журналов заблокированных попыток подключения.