URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5207
[ Назад ]

Исходное сообщение
"iptables и -j LOG"
Отправлено dron0 , 20-Ноя-13 10:15

Пару дней ломаю голову почему iptables не логирует пакеты.
Для отладки уж совсем упростил правила ,пытаюсь логировать Asterisk, но все равно в messages тишина. Немогу понять где мое упущение, прошу помощи.
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth1 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth1 -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
iptables -A INPUT -i eth2 -p udp --dport 1194  -j ACCEPT
iptables -A INPUT  -i eth2 -p udp --dport 5060 -j LOG --log-level info --log-prefix 'SIP'
iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Содержание

iptables и -j LOG,PavelR, 15:31 , 20-Ноя-13
iptables и -j LOG,Sergey, 23:53 , 20-Ноя-13
- iptables и -j LOG,Дядя_Федор, 08:44 , 21-Ноя-13
  - iptables и -j LOG,rusadmin, 08:49 , 21-Ноя-13
    - iptables и -j LOG,Дядя_Федор, 10:33 , 21-Ноя-13
iptables и -j LOG,rusadmin, 08:47 , 21-Ноя-13

Сообщения в этом обсуждении

"iptables и -j LOG"
Отправлено PavelR , 20-Ноя-13 15:31

не надо показывать ваш скрипт. показывайте iptables-save.

"iptables и -j LOG"
Отправлено Sergey , 20-Ноя-13 23:53

я деталей не смотрел, но раз там 3 интерфейса, не может это быть не INPUT, но FORWARD?

"iptables и -j LOG"
Отправлено Дядя_Федор , 21-Ноя-13 08:44

> я деталей не смотрел, но раз там 3 интерфейса, не может это
> быть не INPUT, но FORWARD?
INPUT - это всегда цепочка, обрабатывающая трафик ИЗВНЕ (неважно, от какого интерфейса) к ЛОКАЛЬНОМУ приложению. FORWARD - цепочка, которая занимается обработкой пакетов МЕЖДУ интерфейсами. Почитайте внимательно теоретические материалы по iptables. На этом же ресурсе даже схема прохождения пакетов была, помнится. Да и в "интырнэтах" подобных схем - выше крыши.

"iptables и -j LOG"
Отправлено rusadmin , 21-Ноя-13 08:49

>> я деталей не смотрел, но раз там 3 интерфейса, не может это
>> быть не INPUT, но FORWARD?
> INPUT - это всегда цепочка, обрабатывающая трафик ИЗВНЕ (неважно, от какого
> интерфейса) к ЛОКАЛЬНОМУ приложению. FORWARD - цепочка, которая занимается обработкой
> пакетов МЕЖДУ интерфейсами. Почитайте внимательно теоретические материалы по iptables.
> На этом же ресурсе даже схема прохождения пакетов была, помнится. Да
> и в "интырнэтах" подобных схем - выше крыши.
С чего вы решили, что астериск у него установлен не на этой машине?
В одном согласен - недостаточно информации.

"iptables и -j LOG"
Отправлено Дядя_Федор , 21-Ноя-13 10:33

> С чего вы решили, что астериск у него установлен не на этой
> машине?
Эммм. Я вроде про Астериск вообще ни слова не сказал. :-() Это был комментарий на фразу о разнице между INPUT и FORWARD. Что и где там установлено - я вообще не вникал, да ТС об этом и не говорил.

"iptables и -j LOG"
Отправлено rusadmin , 21-Ноя-13 08:47

Тут 2 варианта:
Либо пакет не доходит до правила с -j LOG (срабатывания выше), либо нет пакетов, удовлетворяющему условию -A INPUT -i eth2 -p udp --dport 5060.
В целом работоспособность можете проверить командой iptables -I INPUT -j LOG. Только удалить потом не забудте =)