iptables日志与limit参数

在处理工作问题的时候需要查看防火墙的日志，由于默认日志都是在系统日志里/var/log/messages里面。需要对rsyslog做设置。

首先编辑配置文件/etc/rsyslog.conf如下：

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog

# Log cron stuff
cron.*                                                  /var/log/cron

# Everybody gets emergency messages
*.emerg                                                 *

# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler

# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log
#keepalived -S
local0.*                                                /var/log/keepalived.log
#iptables
kern.warning                                            /var/log/iptables.log  #添加项
# ### begin forwarding rule ###

然后按照iptables官方说明添加参数启动log日志。

Iptables default log file
For example, if you type the following command, it will display current iptables log from /var/log/messages file:
# tail -f /var/log/messages
Output:
Oct   :: debian kernel: IN=ra0 OUT= MAC=::9a:0a:f6::::5c::::: SRC=200.142.84.36 DST=192.168.1.2 LEN= TOS=0x00 PREC=0x00 TTL= ID= DF PROTO=TCP SPT= DPT= WINDOW= RES=0x00 SYN URGP=
Oct   :: debian kernel: IN=ra0 OUT= MAC=ff:ff:ff:ff:ff:ff:::de::0a::: SRC=192.168.1.30 DST=192.168..255LEN= TOS=0x00 PREC=0x00 TTL= ID= PROTO=UDP SPT= DPT= LEN=
Procedure to log the iptables messages to a different log file
Open your /etc/syslog.conf file:
# vi /etc/syslog.conf
Append following line ：
kern.warning /var/log/iptables.log
Save and close the file.
Restart the syslogd (Debian / Ubuntu Linux):
# /etc/init.d/sysklogd restart On the other hand, use following command to restart syslogd under Red Hat/Cent OS/Fedora Core Linux:

# /etc/init.d/syslog restart
Now make sure you pass the log-level  option with log-prefix to iptables. For example:
# DROP everything and Log it
iptables -A INPUT -j LOG -–log-level
iptables -A INPUT -j DROP
For example, drop and log all connections from IP address 64.55.11.2 to your /var/log/iptables.log file:
iptables -A INPUT -s 64.55.11.2 -m limit --limit /m --limit-burst  -j LOG -–log-prefix ‘** HACKERS **’ --log-level
iptables -A INPUT -s 64.55.11.2 -j DROP
Where,
    * --log-level : Level of logging. The level #  is for warning.
    * --log-prefix ‘*** TEXT ***’: Prefix log messages with the specified prefix (TEXT); up to  letters long, and useful for distinguishing messages in the logs.
You can now see all iptables message logged to /var/log/iptables.log file:
# tail -f /var/log/iptables.log

例如

iptables -t nat -A POSTROUTING -s 192.168.10.128/ -o eht0 -j MASQUERADE
iptables -A FORWARD -p tcp -j LOG --log-level info --log-tcp-optinos
iptables -A input -i eth0 -p tcp -j LOG --log-level info --log-prefix "IPTABLES TCP-IN:"

翻译：

打开你的/etc/syslog.conf文件:
# vi /etc/syslog.conf

在文件末尾加入下面一行信息
kern.warning /var/log/iptables.log

保存和关闭文件.

重新启动syslogd(如果你使用Debian/Ubuntu Linux):
# /etc/init.d/sysklogd restart

另外, 使用下面命令重新启动syslogd(如果你使用Red Hat/Cent OS/Fedora Core Linux):
# /etc/init.d/syslog restart

现在确认你的iptables使用了log-level 4参数(前面有一个log-prefix标志). 例如:
# DROP everything and Log it
iptables -A INPUT -j LOG –log-level
iptables -A INPUT -j DROP

举一个例子, 丢弃和记录所有来自IP地址65.55.11.2的连接信息到/var/log/iptables.log文件.
iptables -A INPUT -s 64.55.11.2 -m limit --limit /m --limit-burst  -j LOG –log-prefix ‘** HACKERS **’ --log-level
iptables -A INPUT -s 64.55.11.2 -j DROP

命令解释:

. - log-level : 记录的级别. 级别4为警告(warning).
. - log-prefix ‘*** TEXT ***’: 这里定义了在日志输出信息前加上TEXT前缀. TEXT信息最长可以是29个字符, 这样你就可以在记录文件中方便找到相关的信息.

现在你可以通过/var/log/iptables.log文件参考iptables的所有信息:
# tail -f /var/log/iptables.log

实际命令

iptables -I INPUT -s 116.3.248.157 -m limit --limit /m --limit-burst  -j LOG --log-prefix "***TEXT***" --log-level 4
iptables -I INPUT -p tcp --dport 18999 -j ACCEPT

-m --limit命令，是为了限制每分钟产生的通行证，--limit-burst 5 设定了通行证的上限。比如，一共有5个通行证，符合的将被放行，不符合的只能等从新生成。生成上限也是5，不能超过5.

此处使用limit是为了防止日志过多刷屏，也可利用limit防止DDOS攻击。

看到一篇文章解释很形象，如下：

Limit match
    这个匹配操作必须由-m limit明确指定才能使用。有了他的帮助，就能对指定的规则的日志数量加以限制，以免你被信息的洪流淹没哦。比如，你能事先设定一个限定值，当符合条件的包的数量不超过他时，就记录；超过了，就不记录了。我们能控制某条规则在一段时间内的匹配次数（也就是能匹配的包的数量），这样就能够减少DoS syn flood攻击的影响。这是他的主要作用，当然，更有非常多其他作用（注：比如，对于某些不常用的服务能限制连接数量，以免影响其他服务）。limit match也能用英文感叹号取反，如：-m limit ! --limit /s表示在数量超过限定值后，所有的包都会被匹配。
    limit match的工作方式就像一个单位大门口的保安，当有人要进入时，需要找他办理通行证。早上上班时，保安手里有一定数量的通行证，来一个人，就签发一个，当通行证用完后，再来人就进不去了，但他们不会等，而是到别的地方去（在iptables里，这相当于一个包不符合某条规则，就会由后面的规则来处理，如果都不符合，就由缺省的策略处理）。但有个规定，每隔一段时间保安就要签发一个新的通行证。这样，后面来的人如果恰巧赶上，也就能进去了。如果没有人来，那通行证就保留下来，以备来的人用。如果一直没人来，可用的通行证的数量就增加了，但不是无限增大的，最多也就是刚开始时保安手里有的那个数量。也就是说，刚开始时，通行证的数量是有限的，但每隔一段时间就有新的通行证可用。limit match有两个参数就对应这种情况，--limit-burst指定刚开始时有多少通行证可用，--limit指定要隔多长时间才能签发一个新的通行证。要注意的是，我这里强调的是“签发一个新的通行证”，这是以iptables的角度考虑的。在你自己写规则时，就要从这个角度考虑。比如，你指定了--limit /minute --limit-burst  ，意思是开始时有5个通行证，用完之后每20秒增加一个（这就是从iptables的角度看的，要是以用户的角度看，说法就是每一分钟增加三个或每分钟只能过三个）。你要是想每20分钟过一个，只能写成--limit /hour --limit-burst ，也就是说你要把时间单位凑成整的。

Table ?. Limit match options
Match
--limit
Example
iptables -A INPUT -m limit --limit /hour
Explanation
为limit match设置最大平均匹配速率，也就是单位时间内limit match能匹配几个包。他的形式是个数值加一个时间单位，能是/second /minute /hour /day 。默认值是每小时3次（用户角度），即3/hour ，也就是每20分钟一次（iptables角度）。
Match
--limit-burst
Example
iptables -A INPUT -m limit --limit-burst
Explanation
这里定义的是limit match的峰值，就是在单位时间（这个时间由上面的--limit指定）内最多可匹配几个包（由此可见，--limit-burst的值要比--limit的大）。默认值是5。

假设如下的规则：
iptables -A INPUT -p icmp -m limit --limit /m --limit-burst  -j ACCEPT
iptables -P INPUT DROP
然后从另一部主机上ping这部主机，就会发生如下的现象：
首先我们能看到前四个包的回应都非常正常，然后从第五个包开始，我们每10秒能收到一个正常的回应。这是因为我们设定了单位时间(在这里是每分钟)内允许通过的数据包的个数是每分钟6个，也即每10秒钟一个；其次我们又设定了事件触发阀值为5，所以我们的前四个包都是正常的，只是从第五个包开始，限制规则开始生效，故只能每10秒收到一个正常回应。
假设我们停止ping，30秒后又开始ping，这时的现象是：
前两个包是正常的，从第三个包开始丢包，这是因为在这里我的允许一个包通过的周期是10秒，如果在一个周期内系统没有收到符合条件的包，系统的触发值就会恢复1，所以如果我们30秒内没有符合条件的包通过，系统的触发值就会恢复到3，如果5个周期内都没有符合条件的包通过，系统都触发值就会完全恢复。
关于iptables的基本介绍能参见：
Linux iptables 应用手册（－）：
http://fanqiang.chinaunix.net/system/linux/2006-06-20/4595.shtml
Linux iptables 应用手册（二）：
http://fanqiang.chinaunix.net/system/linux/2006-06-20/4596.shtml
Linux iptables 应用手册（三）：
http://fanqiang.chinaunix.net/system/linux/2006-06-20/4597.shtml
Linux iptables 应用手册（四）：
http://fanqiang.chinaunix.net/system/linux/2006-06-20/4598.shtml
Linux iptables 应用手册（五）：
http://fanqiang.chinaunix.net/system/linux/2006-06-20/4599.shtml
Linux iptables 应用手册（六）：
http://fanqiang.chinaunix.net/system/linux/2006-06-20/4600.shtml

关于iptables拓展功能.例如:comment (备注匹配) ,string(字符串匹配,能用做内容过滤),iprang(ip范围匹配),time(时间匹配),ipp2p(点对点匹配),connlimit(同时连接个数匹配),Nth(第n个包匹配),geoip(根据国家地区匹配). ipp2p(点对点匹配), quota(配额匹配)等等，参见：
http://bbs.chinaunix.net/viewthread.php?tid=525493