Пару дней ломаю голову почему iptables не логирует пакеты.
Для отладки уж совсем упростил правила ,пытаюсь логировать Asterisk, но все равно в messages тишина. Немогу понять где мое упущение, прошу помощи.iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARDiptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPTiptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPTiptables -A INPUT -i eth1 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth1 -p icmp -j ACCEPTiptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPTiptables -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
iptables -A INPUT -i eth2 -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i eth2 -p udp --dport 5060 -j LOG --log-level info --log-prefix 'SIP'
iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPTiptables -A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
не надо показывать ваш скрипт. показывайте iptables-save.
я деталей не смотрел, но раз там 3 интерфейса, не может это быть не INPUT, но FORWARD?
> я деталей не смотрел, но раз там 3 интерфейса, не может это
> быть не INPUT, но FORWARD?INPUT - это всегда цепочка, обрабатывающая трафик ИЗВНЕ (неважно, от какого интерфейса) к ЛОКАЛЬНОМУ приложению. FORWARD - цепочка, которая занимается обработкой пакетов МЕЖДУ интерфейсами. Почитайте внимательно теоретические материалы по iptables. На этом же ресурсе даже схема прохождения пакетов была, помнится. Да и в "интырнэтах" подобных схем - выше крыши.
>> я деталей не смотрел, но раз там 3 интерфейса, не может это
>> быть не INPUT, но FORWARD?
> INPUT - это всегда цепочка, обрабатывающая трафик ИЗВНЕ (неважно, от какого
> интерфейса) к ЛОКАЛЬНОМУ приложению. FORWARD - цепочка, которая занимается обработкой
> пакетов МЕЖДУ интерфейсами. Почитайте внимательно теоретические материалы по iptables.
> На этом же ресурсе даже схема прохождения пакетов была, помнится. Да
> и в "интырнэтах" подобных схем - выше крыши.С чего вы решили, что астериск у него установлен не на этой машине?
В одном согласен - недостаточно информации.
> С чего вы решили, что астериск у него установлен не на этой
> машине?Эммм. Я вроде про Астериск вообще ни слова не сказал. :-() Это был комментарий на фразу о разнице между INPUT и FORWARD. Что и где там установлено - я вообще не вникал, да ТС об этом и не говорил.
Тут 2 варианта:
Либо пакет не доходит до правила с -j LOG (срабатывания выше), либо нет пакетов, удовлетворяющему условию -A INPUT -i eth2 -p udp --dport 5060.
В целом работоспособность можете проверить командой iptables -I INPUT -j LOG. Только удалить потом не забудте =)