sudo iptables -L -n -v(查看规则及流量统计)。sudo firewall-cmd --state(查看运行状态),sudo firewall-cmd --list-all(查看规则详情)。iftop、nload 工具查看网络带宽使用情况。LOG 规则,如 iptables -A INPUT -j LOG --log-prefix "IPTABLES: " --log-level info,指定日志前缀和级别。sudo firewall-cmd --set-log-denied=all(记录所有拒绝日志)。/var/log/syslog 或 /var/log/messages(Ubuntu/CentOS差异)。journalctl -u firewalld 查看。grep 过滤关键信息,如 sudo grep "DENIED" /var/log/syslog(查找被拒绝连接)。awk 提取特定字段,如 sudo awk '{print $3, $5}' /var/log/syslog | grep -Eo "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b"(提取IP地址)。logwatch:生成每日/每周日志报告,分析异常流量。fail2ban:自动封禁多次攻击的IP地址。Zeek(原Bro)进行深度流量分析,识别异常协议或攻击模式。logrotate 定期轮转日志,避免文件过大。iptables -A INPUT -s <恶意IP> -j DROP 自动封禁。参考来源: