我尝试使用预路由规则将传入数据包重定向到内部虚拟 IP 地址。
如何在传入数据包被重定向之前记录它?
iptables -t nat -A PREROUTING -d 46.X.XX.XX -s 78.XX.XX.XX -p tcp --dport 80 --sport 1024: -j DNAT --to-destination 192.168.122.10:8080
以下规则无效。
iptables -t nat -A PREROUTING -d 0/0 -s 0/0 -p tcp -j LOG --log-level 4
iptables -t nat -I PREROUTING -d 0/0 -s 0/0 -p tcp -j LOG --log-level 4
【问题讨论】:
您需要将日志记录规则放在规则的开头。
# iptables -I INPUT 1 -m limit --limit 5/m -j LOG --log-prefix="iptables: dropped packets" --log-level 4
-I INPUT 1 :这意味着将规则附加到 INPUT 链的第 1 位,紧随其后。
-m limit :这表明我们希望使用限制匹配模块。使用它,我们可以使用 –limit 选项限制日志记录。
--limit 5/m :我们刚才谈到的限制选项来了。这意味着我们希望将日志记录的最大平均匹配率限制为每分钟 5 个。您还可以根据您的环境和需要指定 5/秒、40/分钟、1/小时、3/天。
-j LOG :这告诉 iptables 跳转到 LOG,即写入日志文件。
-–log-prefix "iptables: dropped packet" :您可以指定任何日志前缀,该前缀将附加到将写入 /var/log/messages 文件的日志消息中
-–log-level 4:系统日志级别 4 代表警告。您可以使用 0 到 7 范围内的数字。0 表示紧急情况最高,7 最低表示调试。
【讨论】: