linux - 记录使用 nfq_set_verdict2(NF_DROP) 丢弃的数据包

Question

在我的应用程序中，我使用 NFQUEU 从 netfilter 获取数据包到用户空间，然后我将它与我的标准进行比较，并通过 nfq_set_verdict2 函数中的 NF_DROP 或 NF_ACCEPT 丢弃或接受数据包。我想在常规 iptables 日志中记录丢弃的数据包格式。我怎样才能做到这一点？

Answer 1

为了记录丢弃的数据包，创建一个新链，它将丢弃它收到的每个数据包。将所有要丢弃的数据包重定向到新链，并在声明新链时使用日志语法

iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP

第 3 行:-m 限制:这使用限制匹配模块。使用此功能，您可以使用 –limit 选项限制日志记录。

–limit 2/min:表示日志记录的最大平均匹配率。在此示例中，对于类似的数据包，它将日志记录限制为每分钟 2 个。您还可以指定 2/秒、2/分钟、2/小时、2/天。当您不想让相同丢弃数据包的重复消息弄乱您的日志消息时，这会很有帮助。

-j LOG:这表示此数据包的目标是 LOG。即写入日志文件。

–log-prefix “IPTables-Dropped:”您可以指定任何日志前缀，该前缀将附加到将写入/var/log/messages 文件的日志消息中

–log-level 4 这是标准的系统日志级别。四是警告。您可以使用 0 到 7 范围内的数字。0 表示紧急，7 表示调试。

iptables -A LOGGING -j DROP:最后，丢弃所有到达 LOGGING 链的数据包。即现在它真的丢弃了传入的数据包。