我有iptables防火墙及其所有DROP数据包的日志记录或“拒绝”。我想告诉它,对于ICMP协议,没有任何日志记录。我该怎么告诉
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [24:5541]
:DROPLOG - [0:0]
-A INPUT -s 108.34.21.45 -j ACCEPT
-A INPUT -s 210.23.72.22 -j ACCEPT
-A INPUT -s 108.35.98.7 -j ACCEPT
-A INPUT -s 167.98.200.1 -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -s 172.56.21.10 -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -s 185.201.88.91 -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -j DROPLOG
-A DROPLOG -j LOG --log-prefix "DENY: " --log-level 6
-A DROPLOG -j DROP
COMMIT
这是日志示例:
DENY: IN=eth0 OUT= MAC=00:36:55:7a:3b:6c:00:31:d7:ba:a4:00:08:00 SRC=84.137.71.48 DST=108.101.99.137 LEN=88 TOS=0x00 PREC=0x00 TTL=118 ID=21684 PROTO=ICMP TYPE=3 CODE=3 [SRC=108.101.99.137 DST=192.168.2.102 LEN=60 TOS=0x00 PREC=0x00 TTL=54 ID=0 DF PROTO=UDP SPT=21458 DPT=62936 LEN=40 ]
以下愚蠢的日志填充了我的磁盘...我想告诉我iptables忽略ICMP。我不想使用,limit因为我不在乎ICMP消息。
我建议您插入一个
-A INPUT -p icmp -j DROP
前
-A INPUT -j DROPLOG
丢弃ICMP数据包,然后将其他数据包发送到DROPLOG以进行记录(并丢弃)。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句