Lösung 1:
Eine Option wäre, jedes Ihrer verworfenen Pakete mit einer Regel wie der folgenden zu protokollieren:
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl -j LOG --log-prefix "FW_DROPPED: "
Fügen Sie das direkt vor dem DROP ein Regel. Dann können Sie die Syslog-Datei nach allem durchsuchen, was „FW_DROPPED“ enthält, und die Liste der IPs wird dort angezeigt. Die Einträge in der Logdatei sehen in etwa so aus:
Jun 3 08:05:57 some-machine kernel: [15852451.420557] FW_DROPPED: IN=eth0 OUT= MAC=00:50:ba:4a:d9:e3:00:12:17:3a:e3:64:08:00 SRC=228.23.45.189 DST=192.168.1.1 LEN=48 TOS=0x00 PREC=0x00 TTL=106 ID=10941 PROTO=TCP SPT=58212 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0
Wenn Sie also das folgende "SRC=" ausschneiden, werden Ihnen die gelöschten IPs angezeigt. Sortieren Sie das, eliminieren Sie Duplikate, und Sie haben Ihre Liste.
Ich habe festgestellt, dass das Iptables-Tutorial die nützlichste Dokumentation für iptables/netfilter ist.
Lösung 2:
Details finden Sie unter /proc/net/ipt_recent/SSH.
Dieser Artikel enthält weitere Informationen.
Lösung 3:
Sehen Sie sich
an
/proc/net/ipt_recent/YOURNAME
wobei IHRNAME der Name ist, den Sie mit der Option --name in Ihrer iptables-Regel verwendet haben.
Lösung 4:
Hier ist ein einfacher Einzeiler:
$ iptables -L -n --line