iptables: блокировать порты, но не регистрировать все порты

Question

У меня есть все порты, заблокированные в моих iptables, за исключением тех, которые я специально хочу открыть. Тем не менее, в моем файле iptables.log у меня есть десятки запросов, поступающих в порты 137,138,139, потому что наша корпоративная сеть продолжает думать, что наша коробка может быть окном. К сожалению, я не могу предотвратить это, поэтому следующий вариант - либо открыть порты, либо предотвратить запись журналов.

Возможно ли предотвратить запись iptables.log для определенных портов, но все же регистрировать все остальные заблокированные порты? Или мне нужно полностью отключить iptables.log?

это в моем файле /etc/rsyslog.conf

:msg, startswith, "iptables: " -/var/log/iptables.log 
& ~ 
:msg, regex, "^\[ *[0-9]*\.[0-9]*\] iptables: " -/var/log/iptables.log 
& ~ 

RedHat 6,5

Выходные:

Chain INPUT (policy DROP 0 packets, 0 bytes) 
num pkts bytes target  prot opt in  out  source    destination 
1  98 6744 ACCEPT  all -- lo  *  0.0.0.0/0   0.0.0.0/0 
2  385 51303 ACCEPT  udp -- eth0 *  0.0.0.0/0   0.0.0.0/0   udp spt:53 
3  2102 166K ACCEPT  tcp -- eth0 *  0.0.0.0/0   0.0.0.0/0   tcp dpt:22 state NEW,ESTABLISHED 
4  0  0 ACCEPT  tcp -- eth0 *  0.0.0.0/0   0.0.0.0/0   tcp spt:22 state ESTABLISHED 
5  119 18187 ACCEPT  tcp -- eth0 *  0.0.0.0/0   0.0.0.0/0   tcp spt:80 state ESTABLISHED 
6  0  0 ACCEPT  tcp -- eth0 *  0.0.0.0/0   0.0.0.0/0   tcp spt:443 state ESTABLISHED 
7  0  0 ACCEPT  tcp -- eth0 *  0.0.0.0/0   0.0.0.0/0   tcp dpt:3306 state NEW,ESTABLISHED 
8  0  0 ACCEPT  tcp -- eth0 *  0.0.0.0/0   0.0.0.0/0   tcp spt:3306 state ESTABLISHED 
9  70 3104 ACCEPT  tcp -- eth0 *  10./16  0.0.0.0/0   multiport dports 1556,10082,10102,13720,13724,13782 state NEW,ESTABLISHED 
10  0  0 ACCEPT  tcp -- eth0 *  0.0.0.0/0   0.0.0.0/0   multiport sports 1556,10082,10102,13720,13724,13782 state ESTABLISHED 
11  115 18624 LOGGING all -- *  *  0.0.0.0/0   0.0.0.0/0 

Chain FORWARD (policy DROP 0 packets, 0 bytes) 
num pkts bytes target  prot opt in  out  source    destination 

Chain OUTPUT (policy DROP 887 packets, 53828 bytes) 
num pkts bytes target  prot opt in  out  source    destination 
1  98 6744 ACCEPT  all -- *  lo  0.0.0.0/0   0.0.0.0/0 
2  418 36439 ACCEPT  udp -- *  eth0 0.0.0.0/0   0.0.0.0/0   udp dpt:53 
3  1801 230K ACCEPT  tcp -- *  eth0 0.0.0.0/0   0.0.0.0/0   tcp spt:22 state ESTABLISHED 
4  0  0 ACCEPT  tcp -- *  eth0 0.0.0.0/0   0.0.0.0/0   tcp dpt:22 state NEW,ESTABLISHED 
5  193 21974 ACCEPT  tcp -- *  eth0 0.0.0.0/0   0.0.0.0/0   tcp dpt:80 state NEW,ESTABLISHED 
6  0  0 ACCEPT  tcp -- *  eth0 0.0.0.0/0   0.0.0.0/0   tcp dpt:443 state NEW,ESTABLISHED 
7  0  0 ACCEPT  tcp -- *  eth0 0.0.0.0/0   0.0.0.0/0   tcp spt:3306 state ESTABLISHED 
8  0  0 ACCEPT  tcp -- *  eth0 0.0.0.0/0   0.0.0.0/0   tcp dpt:3306 state NEW,ESTABLISHED 
9  50 4570 ACCEPT  tcp -- *  eth0 0.0.0.0/0   0.0.0.0/0   multiport sports 1556,10082,10102,13720,13724,13782 state ESTABLISHED 
10  0  0 ACCEPT  tcp -- *  eth0 10./16  0.0.0.0/0   multiport dports 1556,10082,10102,13720,13724,13782 state NEW,ESTABLISHED 

Chain LOGGING (1 references) 
num pkts bytes target  prot opt in  out  source    destination 
1  94 16986 LOG  all -- *  *  0.0.0.0/0   0.0.0.0/0   limit: avg 5/min burst 5 LOG flags 0 level 7 prefix `iptables: ' 
2  115 18624 DROP  all -- *  *  0.0.0.0/0   0.0.0.0/0 

Answer 1

Добавить следующие правила:

sudo iptables -I INPUT 11 -p udp -i eth0 --dport 139 -j DROP 
sudo iptables -I INPUT 11 -p udp -i eth0 --dport 138 -j DROP 
sudo iptables -I INPUT 11 -p udp -i eth0 --dport 137 -j DROP 

Эти вызовет iptables, чтобы удалить указанные пакеты до того, как они достигнут правила ведения журнала. В частности, он добавляет действие DROP как номер действия 11 (до действия регистрации, которое в настоящее время является номером 11), в цепочке INPUT таблицы filter.

Обратите внимание, что вы, возможно, придется перезапустить iptables следующим образом:

sudo service iptables restart