Сегодня я прочитал в приведенных ниже журналах пакетов, отброшенных iptables, и не очень понимаю этот журнал. Я надеюсь, что кто-нибудь сможет мне помочь.
Я открыл только входящий SSH-порт 2221, а для моего исходящего трафика я открыл DNS-порт 53 как протокол UDP.
iptables-dropped: IN= OUT=eno1 SRC=myserver.ip DST=179.124.36.195 LEN=88 TOS=0x00 PREC=0xC0 TTL=64 ID=42743 PROTO=ICMP TYPE=3 CODE=3 [SRC=179.124.36.195 DST=myserver.ip LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=58511 DF PROTO=TCP SPT=57351 DPT=2221 WINDOW=29200 RES=0x00 SYN URGP=0 ]
Прочитав журнал, я спросил себя: «Как он (злоумышленник) может попытаться выполнить ICMP-запрос, означает ли это, что мой сервер скомпрометирован?
Затем читаю скобку, где мы видим попытку авторизации в порт SSH.
Одна капля, но 2 разных сообщения журнала?
Похоже, что ваш ssh-сервер был отключен (3 = ICMP_DEST_UNREACH), когда 179.124.36.195 попытался подключиться к нему, или у вас есть правила iptables REJECT, блокирующие доступ, что привело к ответу ICMP, сгенерированному вашей системой, а не системой "злоумышленника", которая был сброшен из-за правил iptables.
Есть одно сообщение журнала. Если вам нужна подробная информация о формате журнала, в исходном коде linux просмотрите net/ipv4/netfilter/nf_log_ipv4.c
. Для 5.4.8-gentoo формат журнала ICMP начинается здесь:
111 case IPPROTO_ICMP: {
Полезные подробности о том, что вызвало ICMP_DEST_UNREACH, добавляются в сообщение журнала, начинающееся здесь:
177 case ICMP_DEST_UNREACH: