设为首页收藏本站

LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
LinuxSir.cn,穿越时空的Linuxsir!»论坛 运维技术 —— LinuxSir.cn 网络技术\网络安全讨论 怎样理解这个OUTPUT链的日志?
返回列表 发新帖
查看: 1378|回复: 4

怎样理解这个OUTPUT链的日志?

[复制链接]
SIR_SIR
发表于 2010-2-23 13:38:06 | 显示全部楼层 |阅读模式
#! /bin/bash
IPTABLE=/sbin/iptables

$IPTABLE -F   #删除默认链
$IPTABLE -X   #删除自定义链

$IPTABLE -A  INPUT  -i  ppp0  -p  tcp  --sport  80 -j  LOG  --log-prefix  "向外链接_日志"
$IPTABLE -A  INPUT  -i  ppp0  -p  tcp  --sport  80  -j  ACCEPT

$IPTABLE -A OUTPUT  -m state --state  NEW -j  LOG  --log-prefix "服务器_日志"
#以上这链的作用是测试有什么数据从本机输出?
=======================================================
链接本站://www.liunxsir.org。输出日志如下:
Feb 24 10:59:13 w-laptop kernel: [ 1400.722916] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=13036 DF PROTO=UDP SPT=41374 DPT=53 LEN=42
Feb 24 10:59:13 w-laptop kernel: [ 1400.737554] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=13040 DF PROTO=UDP SPT=57576 DPT=53 LEN=42
Feb 24 10:59:13 w-laptop kernel: [ 1400.753675] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=13044 DF PROTO=UDP SPT=42807 DPT=53 LEN=42
Feb 24 10:59:13 w-laptop kernel: [ 1400.767081] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=218.21.128.108 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47944 DF PROTO=TCP SPT=33212 DPT=80 WINDOW=5808 RES=0x00 SYN URGP=0
Feb 24 10:59:15 w-laptop kernel: [ 1402.636453] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=65 TOS=0x00 PREC=0x00 TTL=64 ID=13515 DF PROTO=UDP SPT=54274 DPT=53 LEN=45
Feb 24 10:59:15 w-laptop kernel: [ 1402.639279] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=65 TOS=0x00 PREC=0x00 TTL=64 ID=13515 DF PROTO=UDP SPT=41618 DPT=53 LEN=45
Feb 24 10:59:15 w-laptop kernel: [ 1402.641866] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=13516 DF PROTO=UDP SPT=38342 DPT=53 LEN=42
Feb 24 10:59:15 w-laptop kernel: [ 1402.672612] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=65 TOS=0x00 PREC=0x00 TTL=64 ID=13524 DF PROTO=UDP SPT=55220 DPT=53 LEN=45
Feb 24 10:59:15 w-laptop kernel: [ 1402.677111] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=65 TOS=0x00 PREC=0x00 TTL=64 ID=13525 DF PROTO=UDP SPT=39023 DPT=53 LEN=45
Feb 24 10:59:15 w-laptop kernel: [ 1402.677885] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=13525 DF PROTO=UDP SPT=38101 DPT=53 LEN=42
Feb 24 10:59:15 w-laptop kernel: [ 1402.685613] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=65 TOS=0x00 PREC=0x00 TTL=64 ID=13527 DF PROTO=UDP SPT=55162 DPT=53 LEN=45
Feb 24 10:59:15 w-laptop kernel: [ 1402.695586] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=13529 DF PROTO=UDP SPT=36221 DPT=53 LEN=42
Feb 24 10:59:15 w-laptop kernel: [ 1402.695790] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=65 TOS=0x00 PREC=0x00 TTL=64 ID=13529 DF PROTO=UDP SPT=59241 DPT=53 LEN=45
Feb 24 10:59:15 w-laptop kernel: [ 1402.709262] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=13533 DF PROTO=UDP SPT=57496 DPT=53 LEN=44
Feb 24 10:59:15 w-laptop kernel: [ 1402.709724] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=65 TOS=0x00 PREC=0x00 TTL=64 ID=13533 DF PROTO=UDP SPT=34495 DPT=53 LEN=45
Feb 24 10:59:15 w-laptop kernel: [ 1402.727500] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=13537 DF PROTO=UDP SPT=52635 DPT=53 LEN=43
Feb 24 10:59:15 w-laptop kernel: [ 1402.738021] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=13540 DF PROTO=UDP SPT=45517 DPT=53 LEN=44
Feb 24 10:59:15 w-laptop kernel: [ 1402.741177] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=65 TOS=0x00 PREC=0x00 TTL=64 ID=13541 DF PROTO=UDP SPT=40068 DPT=53 LEN=45
Feb 24 10:59:15 w-laptop kernel: [ 1402.751733] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=13543 DF PROTO=UDP SPT=49993 DPT=53 LEN=44
Feb 24 10:59:15 w-laptop kernel: [ 1402.754484] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=65 TOS=0x00 PREC=0x00 TTL=64 ID=13544 DF PROTO=UDP SPT=48173 DPT=53 LEN=45
Feb 24 10:59:15 w-laptop kernel: [ 1402.760900] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=13546 DF PROTO=UDP SPT=34194 DPT=53 LEN=43
Feb 24 10:59:15 w-laptop kernel: [ 1402.776909] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=63 TOS=0x00 PREC=0x00 TTL=64 ID=13550 DF PROTO=UDP SPT=52916 DPT=53 LEN=43
Feb 24 10:59:15 w-laptop kernel: [ 1402.778930] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=13550 DF PROTO=UDP SPT=54869 DPT=53 LEN=39
Feb 24 10:59:15 w-laptop kernel: [ 1402.783878] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=65 TOS=0x00 PREC=0x00 TTL=64 ID=13551 DF PROTO=UDP SPT=51650 DPT=53 LEN=45
Feb 24 10:59:15 w-laptop kernel: [ 1402.811185] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=65 TOS=0x00 PREC=0x00 TTL=64 ID=13558 DF PROTO=UDP SPT=35993 DPT=53 LEN=45
Feb 24 10:59:15 w-laptop kernel: [ 1402.811902] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=13558 DF PROTO=UDP SPT=58410 DPT=53 LEN=44
Feb 24 10:59:15 w-laptop kernel: [ 1402.831708] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=65 TOS=0x00 PREC=0x00 TTL=64 ID=13563 DF PROTO=UDP SPT=38924 DPT=53 LEN=45
Feb 24 10:59:15 w-laptop kernel: [ 1402.840286] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=13566 DF PROTO=UDP SPT=55024 DPT=53 LEN=44
Feb 24 10:59:15 w-laptop kernel: [ 1402.845644] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=13567 DF PROTO=UDP SPT=36974 DPT=53 LEN=42
Feb 24 10:59:15 w-laptop kernel: [ 1402.854320] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=13569 DF PROTO=UDP SPT=36886 DPT=53 LEN=44
Feb 24 10:59:15 w-laptop kernel: [ 1402.880317] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=65 TOS=0x00 PREC=0x00 TTL=64 ID=13576 DF PROTO=UDP SPT=46330 DPT=53 LEN=45
Feb 24 10:59:15 w-laptop kernel: [ 1402.891877] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=65 TOS=0x00 PREC=0x00 TTL=64 ID=13578 DF PROTO=UDP SPT=39507 DPT=53 LEN=45
Feb 24 10:59:15 w-laptop kernel: [ 1402.903968] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=65 TOS=0x00 PREC=0x00 TTL=64 ID=13581 DF PROTO=UDP SPT=57413 DPT=53 LEN=45
Feb 24 10:59:16 w-laptop kernel: [ 1403.078378] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=13625 DF PROTO=UDP SPT=44090 DPT=53 LEN=42
Feb 24 10:59:16 w-laptop kernel: [ 1403.091137] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=13628 DF PROTO=UDP SPT=59296 DPT=53 LEN=42
Feb 24 10:59:16 w-laptop kernel: [ 1403.103892] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=13631 DF PROTO=UDP SPT=60538 DPT=53 LEN=42
Feb 24 10:59:16 w-laptop kernel: [ 1403.118058] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=13635 DF PROTO=UDP SPT=50096 DPT=53 LEN=42
Feb 24 10:59:16 w-laptop kernel: [ 1403.130607] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=13638 DF PROTO=UDP SPT=39155 DPT=53 LEN=42
Feb 24 10:59:16 w-laptop kernel: [ 1403.143967] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=13641 DF PROTO=UDP SPT=40301 DPT=53 LEN=42
Feb 24 10:59:16 w-laptop kernel: [ 1403.157500] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=62 TOS=0x00 PREC=0x00 TTL=64 ID=13645 DF PROTO=UDP SPT=55315 DPT=53 LEN=42
Feb 24 10:59:16 w-laptop kernel: [ 1403.448270] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=13718 DF PROTO=UDP SPT=53195 DPT=53 LEN=39
Feb 24 10:59:16 w-laptop kernel: [ 1403.467300] 服务器_日志IN= OUT=ppp1 SRC=125.92.51.108 DST=202.96.128.86 LEN=59 TOS=0x00 PREC=0x00 TTL=64 ID=13722 DF PROTO=UDP SPT=53091 DPT=53 LEN=39

===================================================

本机:
单机,并没设置为服务器!只作网站浏览所用。

但从OUTPUT链的日志输出的结果来看,打开网站:www.linuxsir.cn。数据是从本机发出的。

INPUT链没有任何日志输出!正确的情况应该是:INPUT链有日志输出,OUTPUT链应该没日志输出吧?

是否是指本机已变成了服务器?
回复

使用道具 举报

SIR_SIR
 楼主| 发表于 2010-2-24 23:04:36 | 显示全部楼层
如果策略加上以下规则:
$IPTABLE -A OUTPUT  -m state --state  NEW -j  DROP
规则的目的是阻止从本机发出的数据包!
本机只作浏览网页用,加上这条规则应该不影响浏览网页,但不知为什么,加上这条规则后就不可以浏览网页了!

不知什么原因?
回复 支持 反对

使用道具 举报

发表于 2010-2-25 02:23:01 | 显示全部楼层
哥们儿,你指定的接口对吗?
$IPTABLE -A INPUT -i ppp0 -p tcp --sport 80 -j LOG --log-prefix "向外链接_日志"
$IPTABLE -A INPUT -i ppp0 -p tcp --sport 80 -j ACCEPT

你这指的是ppp0,你看看日志,数据全都是经过ppp1的.所以你上面两条规则根本不会打出什么日志,因为压根就没有数据.你的日志都是下面这条规则打出来的:
$IPTABLE -A OUTPUT -m state --state NEW -j LOG --log-prefix "服务器_日志"

你加上$IPTABLE -A OUTPUT -m state --state NEW -j DROP 这条规则不能浏览网页,是因为这条规则阻挡了所有的DNS请求(日志里的53端口).
回复 支持 反对

使用道具 举报

SIR_SIR
 楼主| 发表于 2010-2-25 14:26:11 | 显示全部楼层
假设本机有一木马程序,不确定它用什么协议,什么端口号。是从本机向外部电脑连接。

如果想记录所有从本机发出的数据,这个规则应怎样写最合适?

$IPTABLE  -A  OUTPUT  -o  lo  -j  LOG --log-prefix  "离开本地_数据包"
回复 支持 反对

使用道具 举报

发表于 2010-3-17 03:30:13 | 显示全部楼层
都懒得回答你的问题了.你就会不停的问问题,别人回答后你连点反应都没有,也不知道我的回答有没有解决的你问题,解决你的问题了你说声谢谢也好阿,太有挫败感了.你在别的帖子里也是这样.算了,你自己琢磨吧.
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表