当指定源的TCP连接发起(SYN)数据包穿过iptables链时,CLI的csf --watch [ip] (csf -w [ip])
选项和WATCH_MODE配置选项会将其记录下来。
此功能在跟踪iptables拒绝或接受IP地址的地点时很有用。
应使用WATCH_MODE监控IP地址,虽然没有它csf -w [ip]功能仍然可用,但它不提供数据包最后目的地的确凿信息。
默认情况下WATCH_MODE是关闭的,除非监控IP地址会给所有接收的iptables流量添加overhead插件和增加系统日志记录的iptables内核总量,否则应该关闭WATCH_MODE。
WATCH_MODE 禁用: DROP_NOLOG, PS_INTERVAL, DROP_ONLYRES
WATCH_MODE 启用d: DROP_LOGGING, DROP_IP_LOGGING, DROP_PF_LOGGING
WATCH_MODE 记录被监控IP地址接收的iptables
您每次应只监控少数IP地址,且监控时间不宜过长。否则,内核日志(通常/var/log/messages)将全是记录。日志规则不包括在监控时添加的被监控IP地址的任何规则。
IP地址监控不能在csf(iptables)重启时进行。
您可以给csf -w [ip]使用IP地址或CIDR地址。
使用此功能的方法推荐:
1.启用WATCH_MODE
2.重启 csf
3.重启 lfd
4.使用以下命令监控IP:csf -w 11.22.33.44
5.监控内核iptables里被监控IP地址的点击记录
监控IP地址结束时您应该:
1.禁用WATCH_MODE
2.重启 csf(同时删除被监控IP的规则)
3.重启 lfd
内核iptables记录监控IP行(通常是在/var/log/messages)
包含数据包在链内的方向以及链名称,例如:I:INPUT 是指
进入INPUT链,O:LOCALINPUT 是指从LOCALINPUT链传出。
以下是监控连接到端口22的192.168.254.4地址的记录摘要:
Firewall: I:INPUT SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: I:LOCALINPUT SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: I:GDENYIN SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: O:GDENYIN SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: I:DSHIELD SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: O:DSHIELD SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: I:SPAMHAUS SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: O:SPAMHAUS SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: O:LOCALINPUT SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: I:INVALID SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: O:INVALID SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: I:LOGACCEPT SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22