URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3130
[ Назад ]

Исходное сообщение
"iptables ... -j LOG - ни как не хочет"
Отправлено stolik , 27-Янв-07 01:06

Здасте всем. Подскажите пожалуйста. Проблемма в следующем. На машине установленна Fedora Core 6 с ядром 2.6.18-1.бла-бла-бла короче пробовал разные(ото шо после точки). Задаю правила для запипси логов определенных пакетов. Вроде все хорошо, iptables принимает, все нормально, но логи не регистрируются. Syslog вроде сконфигурирован нормально, все соответствующие модули ядра для iptables загружены. Но результата никакого. Пробую аналогичную вещь на ядре 2.4.чё-то_там_ещё (пробовал на разных 2.4) всё работает на ура, и логи пакетов идут и все дела. С 2.6.18-1.и_чё_то_там_ещё никак. Может конечно дело не в ядре. Может кто подскажет. Смотрел .config ядра, вроде сконфигурировано ядро нормально, с полной поддержкой netfilter.

Содержание

iptables ... -j LOG - ни как не хочет,zingel, 13:20 , 27-Янв-07
- iptables ... -j LOG - ни как не хочет,stolik, 18:57 , 28-Янв-07
  - iptables ... -j LOG - ни как не хочет,stolik, 23:38 , 31-Янв-07

Сообщения в этом обсуждении

"iptables ... -j LOG - ни как не хочет"
Отправлено zingel , 27-Янв-07 13:20

>Здасте всем. Подскажите пожалуйста. Проблемма в следующем. На машине установленна Fedora Core
>6 с ядром 2.6.18-1.бла-бла-бла короче пробовал разные(ото шо после точки). Задаю
>правила для запипси логов определенных пакетов. Вроде все хорошо, iptables принимает,
>все нормально, но логи не регистрируются. Syslog вроде сконфигурирован нормально, все
>соответствующие модули ядра для iptables загружены. Но результата никакого. Пробую аналогичную
>вещь на ядре 2.4.чё-то_там_ещё (пробовал на разных 2.4) всё работает на
>ура, и логи пакетов идут и все дела. С 2.6.18-1.и_чё_то_там_ещё никак.
>Может конечно дело не в ядре. Может кто подскажет. Смотрел .config
>ядра, вроде сконфигурировано ядро нормально, с полной поддержкой netfilter.

пример правила дайте плз, потом вывод iptables --list && sysctl -a | grep tcp

"iptables ... -j LOG - ни как не хочет"
Отправлено stolik , 28-Янв-07 18:57

Вот что выдает сам iptables -L -n а именно то правило которое я назначаю
target   prot opt  source     destination
LOG      tcp  --   0.0.0.0/0  0.0.0.0/0   tcp dpt:22 LOG flags 0 level 7 prefix `SSH_INPUT'
ну и соответственно задаётся оно как
iptables -A INPUT -p tcp --dport 22 -j LOG --log-level debug --log-prefix "SSH_INPUT"
пробовал и так
iptables -A INPUT -p tcp --dport 22 -j LOG --log-level info --log-prefix "SSH_INPUT"
т.е. получается, что level = 0 и всё равно ядро молчит
Да по-разному пробовал задать действие LOG в iptables, но результата пока нет.
В /etc/syslog.conf уже делаю отдельную строку вывода сообщений ядра на всех уровнях, но логи iptables не вижу.
Хотя как я уже сказал на ядре 2.4 такие вещи работают на ура
На днях пересобрал ядро 2.6.18.-1.2869 и все равно все в пустую
Ах да, и конечно же sysctl -a | grep tcp
sunrpc.tcp_slot_table_entries = 16
net.ipv4.netfilter.ip_conntrack_tcp_max_retrans = 3
net.ipv4.netfilter.ip_conntrack_tcp_be_liberal = 0
net.ipv4.netfilter.ip_conntrack_tcp_loose = 3
net.ipv4.netfilter.ip_conntrack_tcp_timeout_max_retrans = 300
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 10
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 120
net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 120
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 432000
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 120
net.ipv4.tcp_slow_start_after_idle = 1
net.ipv4.tcp_dma_copybreak = 4096
net.ipv4.tcp_workaround_signed_windows = 0
net.ipv4.tcp_base_mss = 512
net.ipv4.tcp_mtu_probing = 0
net.ipv4.tcp_abc = 0
net.ipv4.tcp_congestion_control = bic
net.ipv4.tcp_tso_win_divisor = 3
net.ipv4.tcp_moderate_rcvbuf = 1
net.ipv4.tcp_no_metrics_save = 0
net.ipv4.tcp_low_latency = 0
net.ipv4.tcp_frto = 0
net.ipv4.tcp_tw_reuse = 0
net.ipv4.tcp_adv_win_scale = 2
net.ipv4.tcp_app_win = 31
net.ipv4.tcp_rmem = 4096        87380   2097152
net.ipv4.tcp_wmem = 4096        16384   2097152
net.ipv4.tcp_mem = 49152        65536   98304
net.ipv4.tcp_dsack = 1
net.ipv4.tcp_ecn = 0
net.ipv4.tcp_reordering = 3
net.ipv4.tcp_fack = 1
net.ipv4.tcp_orphan_retries = 0
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_rfc1337 = 0
net.ipv4.tcp_stdurg = 0
net.ipv4.tcp_abort_on_overflow = 0
net.ipv4.tcp_tw_recycle = 0
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_fin_timeout = 60
net.ipv4.tcp_retries2 = 15
net.ipv4.tcp_retries1 = 3
net.ipv4.tcp_keepalive_intvl = 75
net.ipv4.tcp_keepalive_probes = 9
net.ipv4.tcp_keepalive_time = 7200
net.ipv4.tcp_max_tw_buckets = 180000
net.ipv4.tcp_max_orphans = 16384
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5
net.ipv4.tcp_retrans_collapse = 1
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_timestamps = 1
Ну должна же быть в чем то причина, чудес то не бывает. :)

"iptables ... -j LOG - ни как не хочет"
Отправлено stolik , 31-Янв-07 23:38

Ну неужели ни у кого нет никаких идей, в чем причина такого поведения iptables. Где хоть искать причину :/
tnet.ipv4.tcp_keepalive_time = 7200
>