Что означают дополнительные части записи журнала пинга iptables?

Question

Что означают дополнительные части записи журнала пинга iptables?

Я отбрасываю все пакеты ICMP типа 8 в цепочке INPUT, и теперь я вижу записи в журнале, когда скрипт Fabric пытается связаться с другим сервером, например так:

kernel: INPUT DROP IN=eth0 OUT= SRC=<ip1> DST=<ip2> LEN=88 TOS=0x00 PREC=0xC0 TTL=50 ID=60964 PROTO=ICMP TYPE=3 CODE=3 [SRC=<ip2> DST=<ip1> LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=45897 DF PROTO=TCP SPT=34120 DPT=22022 WINDOW=14600 RES=0x00 SYN URGP=0 ]

Однако они отличаются от записей журнала tcp/udp, к которым я привык, особенно в разделе в квадратных скобках. К чему относятся разные части?

2

iptables syslog icmp

Источник

ghickman 05 апр '11 в 15:29

1 ответ

Решение

Другие вопросы по тегам iptables syslog icmp

malcolmpdx 05 апр '11 в 15:49 2011-04-05 15:49 · Accepted Answer · 2011-04-05 15:49

Это сообщение о недоступности порта назначения (тип 3), о недоступности порта (код 3). Таким образом, он содержит некоторые данные об исходном соединении, сгенерировавшем сообщение, которое вы видите в угловых скобках. Таким образом, IP1 попытался подключиться к ip2 через TCP, от исходного порта 34120 к целевому порту 22022 и т. Д. Это сгенерировало сообщение ICMP о недоступности получателя, которое вы затем отбросили.

Как примечание, я бы очень внимательно подумал о блокировке всего трафика ICMP. Обычно это не очень хорошая идея.