一、修改日志记录:
1. 修改配置文件:
vi /etc/rsyslog.conf 添加以下内容 #iptables log kern.=notice /var/log/iptables.log
2. 重启rsyslog
service rsyslog restart
二、防火墙配置:
iptables -A INPUT -p tcp --dport 110110 -j LOG --log-level notice --log-prefix "IPTABLES TCP-IN: "
三、扩展应用:跳过防火墙限制,任意公网登录服务器。
【需求前提】1. 服务器iptables访问限制,只允许白名单才能访问;2. 公司VPN地址在白名单里,登录VPN访问服务器。
【存在问题】 公司VPN登录需要短信验证,有时网络不稳定。
【实现思路】
1. 记录防火墙非白名单ip的ssh登录的被拒绝ssh日志;
2. 脚本过滤SRC ip;
grep -Eo 'SRC=[0-9\.]+' /var/log/iptables.log|grep -Eo [0-9\.]+{8} |sort -u
3. 比对lastb登录错误日志ip;
防火墙配置白名单最后添加ssh端口log登录记录(根据防火墙执行顺序,前面的白名单策略先生效,非白名单的ssh登录才被记录)