Как читать IPtables журналы трассировки (номера политики)

Question

Поэтому я добавил

sudo iptables -t raw -A PREROUTING -p tcp --dport 25 -j TRACE

, а также

sudo iptables -t raw -A OUTPUT -p tcp --dport 25 -j TRACE

и когда я Grep мой системный журнал для СЛЕД я получаю вывод, что выглядит например

Jan 19 09:14:46 dev109 kernel: [29067248.683235] TRACE: raw:OUTPUT:rule:2 IN= OUT=eth0 ... 
Jan 19 09:14:46 dev109 kernel: [29067248.683244] TRACE: raw:OUTPUT:policy:5 IN= OUT=eth0 ... 
Jan 19 09:14:46 dev109 kernel: [29067248.683254] TRACE: mangle:OUTPUT:policy:1 IN= OUT=eth0 ... 
Jan 19 09:14:46 dev109 kernel: [29067248.683262] TRACE: filter:OUTPUT:policy:1 ... 
Jan 19 09:14:46 dev109 kernel: [29067248.683269] TRACE: mangle:POSTROUTING:policy:1 ... 
Jan 19 09:14:46 dev109 kernel: [29067248.683432] TRACE: raw:OUTPUT:rule:4 IN= OUT=eth0 ... 
Jan 19 09:14:46 dev109 kernel: [29067248.683441] TRACE: raw:OUTPUT:policy:5 IN= OUT=eth0 ... 

Я стараюсь и к каким цифрам относятся, policy:1 == ACCEPT?, если да, то что делает policy:5 означает?

Answer 1

policy:1 является type:rulenum. Или введите другой путь type="policy" и rulenum=1.

Прочитано this тщательно. В частности:

TRACE Эта цель отмечает packes так, что ядро ​​будет регистрировать каждое правило, которое совпадает пакеты, как те, траверс столы, цепи, правила. (Для регистрации требуется модуль ipt_LOG или ip6t_LOG.) Пакеты регистрируются с префиксом строки:

«TRACE: имя_таблицы: имя_пользователя: type: rulenum», где type может быть «правилом» для простого правила, «return «для неявного правила в конце пользователя определена цепочка и« политика »для политики встроенных цепей. Его можно использовать только в необработанном столе.

Теперь давайте рассмотрим один из префиксов от вопроса TRACE: mangle:OUTPUT:policy:1 и применить то, что мы узнали:

tablename = mangle 
chainname = OUTPUT 
type  = policy] 
rulenum = 1