URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 46397
[ Назад ]

Исходное сообщение
"iptables-1.2.9-2.3.1 - мониторинг работы"
Отправлено gagus , 22-Июл-04 20:25

кто-нибудь знает как можно промониторить процесс обработки пакетов ? насколько я знаю iptables своих логов не ведёт, а то так вот догадками как то сложно выявлять ошибку!

Содержание

iptables-1.2.9-2.3.1 - мониторинг работы,John, 00:46 , 23-Июл-04
- iptables-1.2.9-2.3.1 - мониторинг работы,gagus, 06:27 , 23-Июл-04
  - iptables-1.2.9-2.3.1 - мониторинг работы,gagus, 07:05 , 23-Июл-04
    - iptables-1.2.9-2.3.1 - мониторинг работы,John, 09:29 , 23-Июл-04

Сообщения в этом обсуждении

"iptables-1.2.9-2.3.1 - мониторинг работы"
Отправлено John , 23-Июл-04 00:46

>кто-нибудь знает как можно промониторить процесс обработки пакетов ? насколько я знаю
>iptables своих логов не ведёт, а то так вот догадками как
>то сложно выявлять ошибку!
Если политика по умолчаню DROP, т.е.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
то последними правилами можно прописать:
iptables -A INPUT -m limit --limit 10/hour -j LOG --log-prefix="iptables(debug):" --log-level info
iptables -A OUTPUT -m limit --limit 10/hour -j LOG --log-prefix="iptables(debug):" --log-level info
iptables -A FORWARD -m limit --limit 10/hour -j LOG --log-prefix="iptables(debug):" --log-level info
если что-то сбрасывается раньше, то эти можно отследить так:
iptables -N log_drop
iptables -A log_drop -m limit --limit 10/hour -j LOG --log-prefix="iptables(log_drop):" --log-level info
iptables -A log_drop -j DROP
и в правило, которое делает -j DROP
-j log_drop

"iptables-1.2.9-2.3.1 - мониторинг работы"
Отправлено gagus , 23-Июл-04 06:27

к цепочкам PREROUTING и POSTROUTING это так же справедливо ?
просто у меня именно с ними проблемы возникли.

"iptables-1.2.9-2.3.1 - мониторинг работы"
Отправлено gagus , 23-Июл-04 07:05

#iptables -N log
#iptables -A log -j LOG --log-prefix="iptables" --log-level info
#iptables save
#iptables restart
#iptables -t nat -A PREROUTING -p tcp --dport 8080 -j log
iptables v1.2.9: Couldn't load target `log':/lib/iptables/libipt_log.so: cannot open shared object file: No such file or directory
это он на каждый пользовательский набор правил должен свою .SO создать должен ? и почему не создаёт ?

"iptables-1.2.9-2.3.1 - мониторинг работы"
Отправлено John , 23-Июл-04 09:29

>#iptables -N log
>#iptables -A log -j LOG --log-prefix="iptables" --log-level info
>#iptables save
>#iptables restart
>#iptables -t nat -A PREROUTING -p tcp --dport 8080 -j log
>iptables v1.2.9: Couldn't load target `log':/lib/iptables/libipt_log.so: cannot open shared object file: No
>such file or directory
>
>это он на каждый пользовательский набор правил должен свою .SO создать должен
>? и почему не создаёт ?

имя библиотеки - /lib/iptables/libipt_LOG.so
обрати внимание на регистр
загрузить можно - /sbin/modprobe ipt_LOG
PREROUTING
POSTROUTING
используются следующим образом:
Порядок движения пакетов (упрощенно):
транзитных -
PREROUTING
FORWARD
POSTROUTING
для локальных процессов -
PREROUTING
INPUT
от локальных процессов -
OUTPUT
POSTROUTING
Обрати внимание, что во всех случаях пакеты проходят цепочки INPUT, OUTPUT и FORWARD. По идее, там их и надо фильтровать...