Решено: iptables + логирование именно DROP

Skyb · Сообщение **Skyb** » 31.05.2011 06:23

Хочу настроить чтоб логировались именно дропы на определенные правила, не подскажите как?

[0:0] -A INPUT -i eth0 -s 111.222.333.444 -p tcp -m tcp --dport 22 -j LOG --log-level info --log-prefix "INPUT SSH Packets "

этим правилом логируется все, а вот именно дропы охота

oper777 · Сообщение **oper777** » 31.05.2011 08:30

Skyb писал(а): ↑
31.05.2011 06:23
Хочу настроить чтоб логировались именно дропы на определенные правила, не подскажите как?

Сделайте новую цепочку с двумя строчками - LOG и DROP.

А в основных правилах интересующие пакеты не дропайте, а перекидывайте в эту новую цепочку.

Skyb · Сообщение **Skyb** » 31.05.2011 09:27

А можно по подробней, а то я чета попытался и у меня вообще все сломалось. Я тока начал осваивать iptables
Создал новую цепочку

Код: Выделить всё

-N LOGING

Перенаправил весь входящий поток в эту цепочку

Код: Выделить всё

-A INPUT -j LOGING

встает вопрос, что именно то прописать в цепочку LOGING ?? я не понял про

oper777 писал(а): ↑
31.05.2011 08:30
Сделайте новую цепочку с двумя строчками - LOG и DROP.

что тут добавить то?

Skyb · Сообщение **Skyb** » 31.05.2011 10:09

Усе, разобрался, спасибо за подсказку.

Код: Выделить всё

-N LOGING
-A LOGING -i em1.4 -p tcp -m tcp --dport 22 -j LOG --log-level info --log-prefix "INPUT SSH DROP "
-A LOGING -j DROP
......
# Перенаправление всех запросов на 22 порт которых нет у меня в ACCEPT на логирование
-A INPUT -i em1.4 -p tcp -m state --state NEW -m tcp --dport 22 -j LOGING

unixforum.org

Решено: iptables + логирование именно DROP

Решено: iptables + логирование именно DROP

Re: Решено: iptables + логирование именно DROP

Re: Решено: iptables + логирование именно DROP

Re: Решено: iptables + логирование именно DROP