摩托學園討論區

[guest]

各位好 我目前有一個需求 就是如標題所述 我想在iptables中 把所有想跟我連線的IP都記錄下來 但是我遇到一個問題 如果說目標PORT是開著的 (已被某服務用來作listen的) 那一般的--state NEW的規則就可以抓到此封包 但如果說目標PORT沒有任何程式使用 那即使是iptables -A INPUT -j LOG這樣的完全記錄的規則 也沒有辦法把這個被拒絕的封包抓下來

目前我的理解是 是否連system socket buffer都進不去的封包(因為socket table中沒有任何程式想要它) 就會直接被丟掉 連iptables的chain都進不去 如果我的想法沒錯 所以iptables就沒辦法處理這種沒人要的封包了??

不過上面是找了一些片面文件又在不夠詳讀的情況下胡亂作的猜測 如果有錯希望版上朋友指點 先感謝

[企鵝狂]

iptables不管有沒有程式在使用都會LOG
有可能是你LOG前面的規則已經先有DROP或者其他把整個chain終止了。

像是DROP,REJECT,ACCEPT這些執行過後就不會執行接下來的rules.
但是LOG就會。

[guest]

你好 我在測試的時候是先把iptables清空 再加入LOG相關的指令 所以以上的測試其實是在iptables中只有一條LOG rule的環境下執行 所以應該沒有被其它指令先行處理的問題
不過還是謝謝你的回應

[企鵝狂]

這是我的指令

代碼: 選擇全部

 iptables -I INPUT 1 -p tcp -m multiport --ports 1 -j LOG


這是dmesg結果

代碼: 選擇全部

IN=eth1 OUT= MAC=00:a0:b0:14:b6:ab:00:1d:46:bf:05:c3:08:00 SRC=140.123.xxx.x DST=140.123.yyy.y LEN=60 TOS=0x10 PREC=0x00 TTL=63 ID=19783 DF PROTO=TCP SPT=47524 DPT=1 WINDOW=5840 RES=0x00 SYN URGP=0


有紀錄在syslog跟kern.log

代碼: 選擇全部

LOG        tcp  --  0.0.0.0/0            0.0.0.0/0           multiport ports 1 LOG flags 0 level 4


這是紀錄下的規則,他會讓klogd來紀錄
是不是klogd沒有打開?

代碼: 選擇全部

/etc/init.d/klogd start


[guest]

感謝你 真的有抓到了 應該是我沒有把iptables的參數研究清楚 真不好意思
再次感謝