關(guān)于2.6.35靜態(tài)內(nèi)核和netfilter的問題

atkisc

大家好，我的問題是這樣：

    我編譯了一個(gè)2.6.35的靜態(tài)內(nèi)核，在使用iptables的時(shí)候，將INPUT鏈的規(guī)則導(dǎo)入到新鏈中，但是發(fā)現(xiàn)新鏈的規(guī)則卻不能生效，通過iptables -nvL查看，INPUT鏈有包流量，但是新鏈卻沒有，求教問題，系統(tǒng)環(huán)境centos 4.8

Godbach

回復(fù) 1# atkisc

提供的信息不全。

你的規(guī)則是怎么配置的，iptables -nvL INPUT 的結(jié)果是什么，都可以給一下。

   

atkisc

Godbach 發(fā)表于 2013-11-28 10:01
回復(fù) 1# atkisc

提供的信息不全。

這是規(guī)則：

1. 
   
2. *filter
   
3. :INPUT ACCEPT [0:0]
   
4. :FORWARD ACCEPT [0:0]
   
5. :OUTPUT ACCEPT [0:0]
   
6. :SYNCHK - [0:0]
   
7. -A INPUT -i eth0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix 'New' --log-level 7
   
8. -A INPUT -i eth0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j SYNCHK
   
9. -A INPUT -i eth0 -p udp -j DROP
   
10. -A SYNCHK -p tcp -m tcp --dport 30222 -j LOG --log-prefix 'SYNCHK' --log-level 7
    
11. -A SYNCHK -p tcp -m tcp --dport 30222 -j ACCEPT
    
12. -A SYNCHK -p tcp -m tcp --dport 22 -j ACCEPT
    
13. -A SYNCHK -p tcp -j DROP
    
14. COMMIT
    

復(fù)制代碼

這是iptables -nvL結(jié)果

1. 
   
2. Chain INPUT (policy ACCEPT 283 packets, 17912 bytes)
   
3. pkts bytes target     prot opt in     out     source               destination         
   
4.     6   360 LOG        tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x16/0x02 LOG flags 0 level 7 prefix `'New''
   
5.     6   360 SYNCHK     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x16/0x02
   
6.     5  1640 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           
   
7. 
   
8. Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
   
9. pkts bytes target     prot opt in     out     source               destination         
   
10. 
    
11. Chain OUTPUT (policy ACCEPT 253 packets, 301K bytes)
    
12. pkts bytes target     prot opt in     out     source               destination         
    
13. 
    
14. Chain SYNCHK (1 references)
    
15. pkts bytes target     prot opt in     out     source               destination         
    
16.     0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:30222 LOG flags 0 level 7 prefix `'SYNCHK''
    
17.     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:30222
    
18.     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    
19.     0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0
    

復(fù)制代碼

我也打印了一下LOG

1. 
   
2. [  276.382470] 'New'IN=eth0 OUT= MAC=fa:16:3e:3a:39:16:90:b1:1c:54:0d:0a:08:00 SRC=192.168.20.3 DST=192.168.20.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=44353 DF PROTO=TCP SPT=47924 DPT=30022 WINDOW=14600 RES=0x00 SYN URGP=0
   
3. [  277.381754] 'New'IN=eth0 OUT= MAC=fa:16:3e:3a:39:16:90:b1:1c:54:0d:0a:08:00 SRC=192.168.20.3 DST=192.168.20.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=44354 DF PROTO=TCP SPT=47924 DPT=30022 WINDOW=14600 RES=0x00 SYN URGP=0
   
4. [  279.381778] 'New'IN=eth0 OUT= MAC=fa:16:3e:3a:39:16:90:b1:1c:54:0d:0a:08:00 SRC=192.168.20.3 DST=192.168.20.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=44355 DF PROTO=TCP SPT=47924 DPT=30022 WINDOW=14600 RES=0x00 SYN URGP=0
   
5. [  283.381837] 'New'IN=eth0 OUT= MAC=fa:16:3e:3a:39:16:90:b1:1c:54:0d:0a:08:00 SRC=192.168.20.3 DST=192.168.20.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=44356 DF PROTO=TCP SPT=47924 DPT=30022 WINDOW=14600 RES=0x00 SYN URGP=0
   
6. [  484.535532] 'New'IN=eth0 OUT= MAC=fa:16:3e:3a:39:16:90:b1:1c:54:0d:0a:08:00 SRC=192.168.20.3 DST=192.168.20.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=36521 DF PROTO=TCP SPT=47926 DPT=30022 WINDOW=14600 RES=0x00 SYN URGP=0
   
7. [  485.534588] 'New'IN=eth0 OUT= MAC=fa:16:3e:3a:39:16:90:b1:1c:54:0d:0a:08:00 SRC=192.168.20.3 DST=192.168.20.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=36522 DF PROTO=TCP SPT=47926 DPT=30022 WINDOW=14600 RES=0x00 SYN URGP=0
   
8. [  487.534786] 'New'IN=eth0 OUT= MAC=fa:16:3e:3a:39:16:90:b1:1c:54:0d:0a:08:00 SRC=192.168.20.3 DST=192.168.20.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=36523 DF PROTO=TCP SPT=47926 DPT=30022 WINDOW=14600 RES=0x00 SYN URGP=0
   
9. [  491.534582] 'New'IN=eth0 OUT= MAC=fa:16:3e:3a:39:16:90:b1:1c:54:0d:0a:08:00 SRC=192.168.20.3 DST=192.168.20.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=36524 DF PROTO=TCP SPT=47926 DPT=30022 WINDOW=14600 RES=0x00 SYN URGP=0
   
10. [  499.534588] 'New'IN=eth0 OUT= MAC=fa:16:3e:3a:39:16:90:b1:1c:54:0d:0a:08:00 SRC=192.168.20.3 DST=192.168.20.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=36525 DF PROTO=TCP SPT=47926 DPT=30022 WINDOW=14600 RES=0x00 SYN URGP=0
    
11. [  515.534592] 'New'IN=eth0 OUT= MAC=fa:16:3e:3a:39:16:90:b1:1c:54:0d:0a:08:00 SRC=192.168.20.3 DST=192.168.20.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=36526 DF PROTO=TCP SPT=47926 DPT=30022 WINDOW=14600 RES=0x00 SYN URGP=0
    

復(fù)制代碼

上述能看到數(shù)據(jù)包根本沒到新鏈，我很不解

Godbach

回復(fù) 3# atkisc

你說的 SYNCHK 沒流量是不準(zhǔn)確的。iptables -vnL INPUT 的顯示中是有報(bào)文經(jīng)過 SYNCHK 的。

但是報(bào)文沒有命中 SYNCHK 中配置的規(guī)則而已。


   

atkisc

Godbach 發(fā)表于 2013-11-28 10:28
回復(fù) 3# atkisc

你說的 SYNCHK 沒流量是不準(zhǔn)確的。iptables -vnL INPUT 的顯示中是有報(bào)文經(jīng)過 SYNCHK 的 ...

規(guī)則沒生效我就忽略了到SYNCHK鏈，，求教，大概知道是哪里的問題嗎

Godbach

回復(fù) 5# atkisc

配置的規(guī)則是靜態(tài)的，需要有對應(yīng)的報(bào)文采取匹配，才有計(jì)數(shù)。

也就是說，你當(dāng)前下發(fā)了這幾條規(guī)則之后，沒有匹配上這幾條規(guī)則的報(bào)文，所以沒有計(jì)數(shù)。


   

atkisc

Godbach 發(fā)表于 2013-11-28 10:33
回復(fù) 5# atkisc

配置的規(guī)則是靜態(tài)的，需要有對應(yīng)的報(bào)文采取匹配，才有計(jì)數(shù)。

可是如果我直接走INPUT鏈的情況下是可以匹配到的。我嘗試過將內(nèi)核netfilter相關(guān)選項(xiàng)都選擇也還是這樣的結(jié)果

Godbach

回復(fù) 7# atkisc

你是說

-A SYNCHK -p tcp -m tcp --dport 30222 -j LOG --log-prefix 'SYNCHK' --log-level 7
-A SYNCHK -p tcp -m tcp --dport 30222 -j ACCEPT
-A SYNCHK -p tcp -m tcp --dport 22 -j ACCEPT

這幾條規(guī)則放到 INPUT 中可以命中嗎
   

atkisc

Godbach 發(fā)表于 2013-11-28 11:01
回復(fù) 7# atkisc

你是說

可以的，只要不新建鏈都可以命中

Godbach

回復(fù) 9# atkisc

這樣，你把在 SYNCHK 鏈中加一條 記錄報(bào)文的規(guī)則

看看有沒有 TCP 端口為 30222 或者 22 的