Firewall - iptables - LOGI

[Najkon]

Witam serdecznie,

Nie jestem zbytnio obeznany w tym co wypluwa mi serwer do logów, ale muszę powiedzieć że ostatnio nęka mnie taka ilość logów, że kończy się miejsce na dysku.
Jakby ktoś mógłby poradzić o co tu chodzi, i jak temu zapobiec

Wycinek z skryptu firewall-a odnośnie samego LOG-owania.

Kod: Zaznacz cały

iptables -t filter -A INPUT -m conntrack --ctstate INVALID -j LOG --log-level 4 --log-prefix "Invalid-Dropped"
iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"

        echo " ** Loguj wszystkie odrzucone"
iptables -N LOG-DROP
iptables -A INPUT -j LOG-DROP
iptables -A LOG-DROP -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOG-DROP -j DROP

Obecnie logi dla samego iptables

Kod: Zaznacz cały

# du -sh /var/log/iptables/* | sort -h
1,8G    /var/log/iptables/iptables.log
2,6G    /var/log/iptables/iptables-LO.log

W ciągu jednego dnia potrafi do pliku zrzucić 1G samego tekstu.

Wycinek z pliku $iptables.log

Kod: Zaznacz cały

Apr 29 21:40:05 sHome kernel: IN=eth0 OUT= MAC=02:00:05:c4:1b:53:d8:24:bd:91:5c:40:08:00 SRC=194.97.114.2 DST=MOJ_IP2 LEN=42 TOS=0x00 PREC=0x00 TTL=242 ID=49791 PROTO=UDP SPT=9987 DPT=9987 LEN=22
Apr 29 21:40:05 sHome kernel: IN=eth0 OUT= MAC=02:00:05:c4:1b:53:d8:24:bd:91:5c:40:08:00 SRC=194.97.114.2 DST=MOJ_IP2 LEN=42 TOS=0x00 PREC=0x00 TTL=242 ID=49793 PROTO=UDP SPT=9987 DPT=9987 LEN=22
Apr 29 21:40:05 sHome kernel: IN=eth0 OUT= MAC=02:00:05:c4:1b:53:d8:24:bd:91:5c:40:08:00 SRC=194.97.114.2 DST=MOJ_IP2 LEN=42 TOS=0x00 PREC=0x00 TTL=242 ID=49794 PROTO=UDP SPT=9987 DPT=9987 LEN=22
Apr 29 21:40:05 sHome kernel: IN=eth0 OUT= MAC=02:00:05:c4:1b:53:d8:24:bd:91:5c:40:08:00 SRC=194.97.114.2 DST=MOJ_IP2 LEN=42 TOS=0x00 PREC=0x00 TTL=242 ID=49795 PROTO=UDP SPT=9987 DPT=9987 LEN=22
Apr 29 21:40:05 sHome kernel: IN=eth0 OUT= MAC=02:00:05:c4:1b:53:d8:24:bd:91:5c:40:08:00 SRC=89.66.23.74 DST=MOJ_IP2 LEN=125 TOS=0x00 PREC=0x00 TTL=114 ID=23578 PROTO=UDP SPT=64736 DPT=9987 LEN=105
Apr 29 21:40:05 sHome kernel: IN=eth0 OUT= MAC=02:00:05:c4:1b:53:d8:24:bd:91:5c:40:08:00 SRC=77.87.74.241 DST=MOJ_IP2 LEN=115 TOS=0x00 PREC=0x00 TTL=115 ID=10395 PROTO=UDP SPT=52946 DPT=9987 LEN=95
Apr 29 21:40:05 sHome kernel: IN=eth0 OUT= MAC=02:00:05:c4:1b:53:d8:24:bd:91:5c:40:08:00 SRC=89.73.177.114 DST=MOJ_IP2 LEN=100 TOS=0x00 PREC=0x00 TTL=112 ID=18864 PROTO=UDP SPT=57605 DPT=9987 LEN=80
Apr 29 21:40:05 sHome kernel: IN=eth0 OUT= MAC=02:00:05:c4:1b:53:d8:24:bd:91:5c:40:08:00 SRC=31.61.140.70 DST=MOJ_IP2 LEN=100 TOS=0x00 PREC=0x00 TTL=112 ID=14072 PROTO=UDP SPT=24532 DPT=9987 LEN=80
Apr 29 21:40:05 sHome kernel: IN=eth0 OUT= MAC=02:00:05:c4:1b:53:d8:24:bd:91:5c:40:08:00 SRC=178.235.146.160 DST=MOJ_IP2 LEN=113 TOS=0x00 PREC=0x00 TTL=116 ID=8994 PROTO=UDP SPT=60089 DPT=9987 LEN=93
Apr 29 21:40:05 sHome kernel: IN=eth0 OUT= MAC=02:00:05:c4:1b:53:d8:24:bd:91:5c:40:08:00 SRC=83.10.28.65 DST=MOJ_IP2 LEN=76 TOS=0x00 PREC=0x00 TTL=116 ID=5239 PROTO=UDP SPT=16072 DPT=9987 LEN=56
Apr 29 21:40:05 sHome kernel: IN=eth0 OUT= MAC=02:00:05:c4:1b:53:d8:24:bd:91:5c:40:08:00 SRC=178.235.177.91 DST=MOJ_IP2 LEN=113 TOS=0x00 PREC=0x00 TTL=115 ID=15605 DF PROTO=UDP SPT=53713 DPT=9987 LEN=93

Wycinek z $iptables-LO.log - to mnie najbardziej ciekawi dlaczego loguje ruch pomiędzy tym samym adresem IP tj. lokalnie

Kod: Zaznacz cały

Apr 29 21:43:57 lewobrzeze kernel: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=MOJ_IP_MAIN DST=MOJ_IP_MAIN LEN=1873 TOS=0x00 PREC=0x00 TTL=64 ID=37615 DF PROTO=TCP SPT=10011 DPT=36561 WINDOW=36875 RES=0x00 ACK PSH URGP=0
Apr 29 21:43:57 lewobrzeze kernel: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=MOJ_IP_MAIN DST=MOJ_IP_MAIN LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=5485 DF PROTO=TCP SPT=36561 DPT=10011 WINDOW=1024 RES=0x00 ACK URGP=0
Apr 29 21:43:57 lewobrzeze kernel: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=MOJ_IP_MAIN DST=MOJ_IP_MAIN LEN=71 TOS=0x00 PREC=0x00 TTL=64 ID=37616 DF PROTO=TCP SPT=10011 DPT=36561 WINDOW=36875 RES=0x00 ACK PSH URGP=0
Apr 29 21:43:57 lewobrzeze kernel: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=MOJ_IP_MAIN DST=MOJ_IP_MAIN LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=5486 DF PROTO=TCP SPT=36561 DPT=10011 WINDOW=1024 RES=0x00 ACK URGP=0
Apr 29 21:43:57 lewobrzeze kernel: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=MOJ_IP_MAIN DST=MOJ_IP_MAIN LEN=71 TOS=0x00 PREC=0x00 TTL=64 ID=5487 DF PROTO=TCP SPT=36561 DPT=10011 WINDOW=1024 RES=0x00 ACK PSH URGP=0
Apr 29 21:43:57 lewobrzeze kernel: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=MOJ_IP_MAIN DST=MOJ_IP_MAIN LEN=1867 TOS=0x00 PREC=0x00 TTL=64 ID=37617 DF PROTO=TCP SPT=10011 DPT=36561 WINDOW=36875 RES=0x00 ACK PSH URGP=0
Apr 29 21:43:57 lewobrzeze kernel: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=MOJ_IP_MAIN DST=MOJ_IP_MAIN LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=5488 DF PROTO=TCP SPT=36561 DPT=10011 WINDOW=1024 RES=0x00 ACK URGP=0

LEGENDA:
MOJ_IP_MAIN - jest to podstawowy adres IPv4
MOJ_IP2 - jest to dodatkowy adres IPv4
PORT : 9988 - jest to serwer głosowy TeamSpeak
- obecnie na serwerze Teamspeak online: 40 osób

Na łączu nie widzę znaczny wzrost ruchu ze swojej strony. Wysłałem zapytanie do Administratorów gdzie wykupiłem serwer. Oni również nie zaobserwowali żadnego ataku lub tym podobnych.
Chwila nieuwagi z racji zapracowania w życiu codziennym. Zaglądam do serwera po 4-5 dniach a tu dysk w 95% przestrzeni na dysku zawalone logami z iptables.
Jak tych logów się pozbyć?

[Najkon]

Pogooglowałem trochę w Internetach i 5 przez 10 wyczytałem, że to może być problemem stany dla CONNTRACK'a.
W moim przypadku miałem tylko --ctstate NEW -m connlimit --conlimit-upto 100 -j ACCEPT i niby jak piszą w Internetach iptables przyjmował NOWE połączenia, ale nie potrafił sobie poradzić z RELATED,ESTABLISHED

Wkażdym bądź razie gdy tylko dorzuciłem do regułki RELATED,ESTABLISHED - logi umilkły - ale czy to jest rozwiązanie poprawne?