The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
iptables и   -j LOG, !*! dron0, 20-Ноя-13, 10:15  [смотреть все]
Пару дней ломаю голову почему iptables не логирует пакеты.
Для отладки уж совсем упростил правила ,пытаюсь логировать Asterisk, но все равно в messages тишина. Немогу понять где мое упущение, прошу помощи.

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT

iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT

iptables -A INPUT -i eth1 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth1 -p icmp -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT  

iptables -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT

iptables -A INPUT -i eth2 -p udp --dport 1194  -j ACCEPT

iptables -A INPUT  -i eth2 -p udp --dport 5060 -j LOG --log-level info --log-prefix 'SIP'

iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Ответить | Сообщить модератору
  • iptables и   -j LOG, !*! PavelR, 15:31 , 20-Ноя-13 (1)
    не надо показывать ваш скрипт. показывайте iptables-save.
    Ответить | Сообщить модератору
  • iptables и   -j LOG, !*! Sergey, 23:53 , 20-Ноя-13 (2)
    я деталей не смотрел, но раз там 3 интерфейса, не может это быть не INPUT, но FORWARD?
    Ответить | Сообщить модератору
    • iptables и   -j LOG, !*! Дядя_Федор, 08:44 , 21-Ноя-13 (3)
      > я деталей не смотрел, но раз там 3 интерфейса, не может это
      > быть не INPUT, но FORWARD?

      INPUT - это всегда цепочка, обрабатывающая трафик ИЗВНЕ (неважно, от какого интерфейса) к ЛОКАЛЬНОМУ приложению. FORWARD - цепочка, которая занимается обработкой пакетов МЕЖДУ интерфейсами. Почитайте внимательно теоретические материалы по iptables. На этом же ресурсе даже схема прохождения пакетов была, помнится. Да и в "интырнэтах" подобных схем - выше крыши.


      Ответить | Сообщить модератору
      • iptables и   -j LOG, !*! rusadmin, 08:49 , 21-Ноя-13 (5)
        >> я деталей не смотрел, но раз там 3 интерфейса, не может это
        >> быть не INPUT, но FORWARD?
        >  INPUT - это всегда цепочка, обрабатывающая трафик ИЗВНЕ (неважно, от какого
        > интерфейса) к ЛОКАЛЬНОМУ приложению. FORWARD - цепочка, которая занимается обработкой
        > пакетов МЕЖДУ интерфейсами. Почитайте внимательно теоретические материалы по iptables.
        > На этом же ресурсе даже схема прохождения пакетов была, помнится. Да
        > и в "интырнэтах" подобных схем - выше крыши.

        С чего вы решили, что астериск у него установлен не на этой машине?
        В одном согласен - недостаточно информации.

        Ответить | Сообщить модератору
        • iptables и   -j LOG, !*! Дядя_Федор, 10:33 , 21-Ноя-13 (6)
          > С чего вы решили, что астериск у него установлен не на этой
          > машине?

          Эммм. Я вроде про Астериск вообще ни слова не сказал. :-() Это был комментарий на фразу о разнице между INPUT и FORWARD. Что и где там установлено - я вообще не вникал, да ТС об этом и не говорил.


          Ответить | Сообщить модератору
  • iptables и   -j LOG, !*! rusadmin, 08:47 , 21-Ноя-13 (4)
    Тут 2 варианта:
    Либо пакет не доходит до правила с -j LOG (срабатывания выше), либо нет пакетов, удовлетворяющему условию  -A INPUT  -i eth2 -p udp --dport 5060.
    В целом работоспособность можете проверить командой iptables -I INPUT  -j LOG. Только удалить потом не забудте =)
    Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру