iptables基础和应用(3)

核心提示： mysql> grant create,select on iptables.* to iptables_user@localhost identified by 'xx';（将 iptables 数据库读取权限授权给 iptables_user 这个账号，并限制只能

mysql> grant create,select on iptables.* to iptables_user@localhost identified by 'xx';（将 iptables 数据库读取权限授权给 iptables_user 这个账号，并限制只能从本机联机，密码为 xx，请自行修改上述指令中之账号与密码）

root@firewall sql# cat db.sql | mysql -u iptables_admin -p iptables（以 iptables_admin 身分来执行 db.sql，如果你改了数据库的名字，请记得修改 db.sql）

修改 iptables 指令稿：

由于这支 Log 分析程序是以读取系统 LOG 加以分析后才汇入到数据库的方法，来处理联机纪录，并非使用 ULOG 直接由 iptables 将纪录写入 mysql 数据库，感觉上效能比较差，但在 ULOG 机制尚未被实体化之前，这也不失为一个好的解决方案。

原则上只要在 iptables 指令稿中有产生 LOG 的动作，这些信息就会被分析汇入到数据表（由 feed_db.pl 负责这个工作），特别要注意的是 LOG 产生时会加入一个标头（prefix），程序是透过标头来分析这笔 LOG 的意义，请将 LOG 标头取名为 IPTABLES DROP 或 IPTABLES ACCEPT，以方便事后的统计。范例如下：

首先建立一个新的规则炼 LOG_DROP，这个规则炼用来将要丢弃的封包先 LOG 到系统日志文件，然后再丢弃。

iptables -N LOG_DROP

iptables -A LOG_DROP -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES DROP] : '

iptables -A LOG_DROP -j DROP

接着修改所有规则，只要是需进行 DROP 动作，都改为跳到 LOG_DROP 规则炼，例如：

$IPTABLES -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j DROP