파일 공유용으로 쓰는 PC의 방화벽 로그에 특정 로그가 미친듯이 쌓여서<br>로그에 나온 그대로 허용을 해봤는데 그래도 로그가 쌓여서 어떻게 설정을 변경해야하는지 알고 싶습니다.<br><br>구성환경은 우분투 16.04 LTS 입니다.<br>192.168.0.132가 우분투 PC의 IP이고 192.168.0.24는 주로 SSH로 접속하는 PC, 192.168.0.100은 시놀로지 NAS 입니다.<br>vsftp, samba, apache, cups, transmission, plex, ssh 를 사용하고 있고 SSH 서비스 포트는 5554로 변경한 상태입니다.<br><br>방화벽 설정은 iptables 기본상태인 INPUT-DROP, FORWARD-DROP, OUTPUT-ACCEPT 입니다.<br>제가 건드린 부분은 INPUT 체인에 ESA-rule라고 체인을 넣어서 여기 로그가 저장되게 했는데요.<br>INPUT체인은 1) fail2ban 관련 체인 2) ESA-rule 체인 3) UFW 체인 순서로 등록되어 있고<br>ESA-rule 체인은 차단할 IP를 등록하고 UFW 체인에는 오픈할 서비스 포트를 등록했습니다.<br><br>다음이 /var/log/iptables에 미친듯이 쌓이는 로그 내용입니다.(날자와 시간은 지웠습니다.)<br>------------------------------------------------------------------------------------------------------------------------<br>ESA-Server kernel: [63707.330719] [ESA-rule]IN=enp2s0 OUT= MAC=00:1f:c6:83:43:ab:74:d4:35:53:4b:18:08:00 SRC=192.168.0.24 DST=192.168.0.132 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=25494 DF PROTO=TCP SPT=5916 DPT=5554 WINDOW=$(또는 DPT=9091)<br><br>ESA-Server kernel: [63907.900042] [ESA-rule]IN=enp2s0 OUT= MAC=01:00:5e:7f:ff:fa:90:9f:33:ba:3e:88:08:00 SRC=192.168.0.1 DST=239.255.255.250 LEN=294 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=UDP SPT=37359 DPT=1900 LEN=274<br><br>ESA-Server kernel: [63927.414159] [ESA-rule]IN=enp2s0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:11:32:60:0e:d3:08:00 SRC=192.168.0.100 DST=192.168.0.255 LEN=211 TOS=0x00 PREC=0x00 TTL=64 ID=34163 DF PROTO=UDP SPT=138 DPT=138 LEN=191<br><br>ESA-Server kernel: [63747.436292] [ESA-rule]IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.0.132 DST=192.168.0.132 LEN=372 TOS=0x00 PREC=0x00 TTL=64 ID=52482 DF PROTO=UDP SPT=42582 DPT=34630 LEN=352<br><br>ESA-Server kernel: [63828.432958] [ESA-rule]IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.255.255.255 LEN=49 TOS=0x00 PREC=0x00 TTL=64 ID=34863 DF PROTO=UDP SPT=42937 DPT=32412 LEN=29<br>------------------------------------------------------------------------------------------------------------------------<br><br>ESA-rule의 설정은 다음과 같이 되어 있습니다.<br>------------------------------------------------------------------------------------------------------------------------<br>LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 0 level 4 prefix "[ESA-rule]"<br>ACCEPT tcp -- enp2s0 * 192.168.0.0/192.168.0.255 192.168.0.132 tcp spts:1024:65535 dpt:9091<br>ACCEPT udp -- enp2s0 * 192.168.0.132 192.168.0.255 udp spts:1024:65535 dpt:32412<br>ACCEPT udp -- enp2s0 * 192.168.0.132 239.255.255.255 udp spts:1024:65535 dpt:1900<br>ACCEPT udp -- lo * 127.0.0.1 127.255.255.255 udp spts:1024:65535 dpt:32412<br>ACCEPT tcp -- enp2s0 * 192.168.0.24 192.168.0.132 tcp spts:1024:65535 dpt:5554<br>ACCEPT udp -- lo * 192.168.0.132 192.168.0.132 udp spts:1024:65535 dpts:1024:65535<br>ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0<br>ACCEPT icmp -- * * 192.168.0.0/24 0.0.0.0/0<br>DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0<br>[DROP all -- * * 차단IP 0.0.0.0/0]<br>RETURN all -- * * 0.0.0.0/0 0.0.0.0/0<br>------------------------------------------------------------------------------------------------------------------------<br>1 sudo iptables -I ESA-rule 1 -j LOG -m limit --limit '3/minute' --log-prefix [ESA-rule]<br>2 sudo iptables -I ESA-rule 2 -i enp2s0 -s 192.168.0.0/192.168.0.255 -d 192.168.0.132 -p tcp --sport 1024:65535 --dport 9091 -j ACCEPT<br>3 sudo iptables -I ESA-rule 3 -i enp2s0 -s 192.168.0.132 -d 192.168.0.255 -p udp --sport 1024:65535 --dport 32412 -j ACCEPT<br>4 sudo iptables -I ESA-rule 4 -i enp2s0 -s 192.168.0.132 -d 239.255.255.255 -p udp --sport 1024:65535 --dport 1900 -j ACCEPT<br>5 sudo iptables -I ESA-rule 5 -i lo -s 127.0.0.1 -d 127.255.255.255 -p udp --sport 1024:65535 --dport 32412 -j ACCEPT<br>6 sudo iptables -I ESA-rule 6 -i enp2s0 -s 192.168.0.24 -d 192.168.0.132 -p tcp --sport 1024:65535 --dport 5554 -j ACCEPT<br>7 sudo iptables -I ESA-rule 7 -i lo -s 192.168.0.132 -d 192.168.0.132 -p udp --sport 1024:65535 --dport 1024:65535 -j ACCEPT<br>8 sudo iptables -I ESA-rule 8 -i lo -p all -j ACCEPT<br>9 sudo iptables -I ESA-rule 9 -s 192.168.0.0/24 -p icmp -j ACCEPT<br>10 sudo iptables -I ESA-rule 10 -d 0.0.0.0/0 -p icmp -j DROP<br>11 sudo iptables -I ESA-rule 11 -s 차단IP -j DROP<br>END sudo iptables -A ESA-rule -p all -j RETURN<br>------------------------------------------------------------------------------------------------------------------------<br><br>UFW체인에는 sudo ufw allow 5554/tcp 등으로 서비스 포트가 오픈했습니다.<br>어디를 어떻게 바꿔야 해당 로그가 저장되지 않을까요?<br>
댓글 분란 또는 분쟁 때문에 전체 댓글이 블라인드 처리되었습니다.