使用iptables记录所有连接关闭端口

Question

在FreeBSD中，通过sysctl（net.inet.tcp.log_in_vain）可以调整内核参数，为您提供尝试连接到未运行服务的端口的日志（即关闭端口）。这些消息记录到/ var /日志/消息（有点）以下面的格式：

2014年6月26日13：18：58 | 218.77.79.43 | 58848 | 192.168.192.28 | 443 |的tcp_input：连接尝试关闭端口

没有转发从路由器到我的FreeBSD盒的所有连接，我定期收到这些消息。如果我没有明确创建端口转发规则集将流量重定向到路由器上的这个盒子，情况如何？

我正在寻找使用iptables设置类似的东西，减少尽可能多的噪音，例如，只能将来自我的网络之外的人的连接看作src并忽略任何传出。

我尝试使用类似下面这样做：

是iptables -I INPUT -m状态--state NEW -j LOG --log前缀 “新建连接”

我很确定这个语法已经过时了。我来自IPF世界，所以我不太熟悉最新的iptables语法约定。

此规则生成日志我正在寻找在/ var /日志/消息的类型：

06月28○时38分12秒的Kermit内核：[6331.339928]新连接：IN = eth0的OUT = MAC = ff：ff：ff：ff：ff：ff：a8：86：dd：8a：c9：26：08：00：45：00：00：48：e8：3f：00：00：40： 11：8F：EC│ SRC = 192.168.192.40 DST = 192.168.192.255 LEN = 72 TOS = 0×00 PREC = 0×00 TTL = 64 ID = 59455 PROTO = UDP SPT = 57621 DPT = 57621 LEN = 52

到目前为止，我还没有看到来自我自己网络之外的任何连接。另外，我可以在/var/log/auth.log中看到使用上面的iptables规则不会出现在/ var/log/messages中的SSH登录尝试：

Jun 28 09:31:42 kermit sshd [ 10097]：pam_unix（sshd：auth）：check pass;用户未知

6月28日9时31分44秒的Kermit的sshd [10097]：从116.10.191.187端口40312 SSH2

无效的用户名admin密码失败是否可以使用iptables来创建以下文件：

1. 规则/规则集，其记录到我的盒子到/ var /记录所有传入连接/邮件
2. 不要记录我自己的网络中发起的任何连接
3. 不记录任何出去连接
4. 我需要将路由器上的所有连接转发到我的盒子，以便获得与我在FreeBSD中一样的日志消息？ （即端口转发的所有端口）

Answer 1

我发现下面的（基本）rulset做了什么我一直在寻找：

# Generated by iptables-save v1.4.14 on Sat Jun 28 14:02:33 2014 
*filter 
:INPUT ACCEPT [586:43405] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [367:72794] 
:LOGNDROP - [0:0] 
-A INPUT ! -s 192.168.192.0/24 -p tcp -m state --state NEW -j LOG --log-prefix "[New Connection]: " 
COMMIT 
# Completed on Sat Jun 28 14:02:33 2014