關(guān)于2.6.35靜態(tài)內(nèi)核和netfilter的問題

Godbach

回復(fù) 19# atkisc

Chain INPUT (policy ACCEPT 1 packets, 328 bytes)
pkts bytes target     prot opt in     out     source               destination         
    4   240 SYNCHK     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp
  ...        

Chain SYNCHK (1 references)
pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:30022 LOG flags 0 level 7 prefix `'SYNCHK-TCP-30022''
...
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0   

有 4 個(gè) 報(bào)文進(jìn)入了 SYNCHK 鏈，但沒有命中你的規(guī)則。

這樣調(diào)試一下：
INPUT 處 SYNCHK 鏈之前的那條 LOG 規(guī)則還保留，過濾 30022 端口

SYNCHK 鏈中的第一條 LOG 規(guī)則，不加端口過濾，記錄下所有的 TCP 報(bào)文。然后再看命中情況以及 LOG
   

atkisc

Godbach 發(fā)表于 2013-11-28 13:32
回復(fù) 19# atkisc

按您的要求,改動(dòng)成如下規(guī)則

1. 
   
2. *filter
   
3. :INPUT ACCEPT [0:0]
   
4. :FORWARD ACCEPT [0:0]
   
5. :OUTPUT ACCEPT [0:0]
   
6. :SYNCHK - [0:0]
   
7. -A INPUT -i eth0 -p tcp -m tcp -j SYNCHK
   
8. -A INPUT -i eth0 -p tcp -m tcp -j LOG --log-prefix 'Input-TCP' --log-level 7
   
9. -A INPUT -i eth0 -p tcp -m tcp --dport 30022 -j LOG --log-prefix 'Input-TCP-30022' --log-level 7
   
10. -A SYNCHK -p tcp -m tcp -j LOG --log-prefix 'SYNCHK-TCP --log-level 7
    
11. -A SYNCHK -p tcp -m tcp --dport 30022 -j ACCEPT
    
12. -A SYNCHK -p tcp -m tcp -j ACCEPT
    
13. -A SYNCHK -p tcp -j DROP
    
14. COMMIT
    

復(fù)制代碼

嘗試SSH登陸后的iptables -nvL

1. 
   
2. Chain INPUT (policy ACCEPT 290 packets, 23774 bytes)
   
3. pkts bytes target     prot opt in     out     source               destination         
   
4.    14  1384 SYNCHK     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp
   
5.     0     0 LOG        tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp LOG flags 0 level 7 prefix `'Input-TCP''
   
6.     0     0 LOG        tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:30022 LOG flags 0 level 7 prefix `'Input-TCP-30022''
   
7. 
   
8. Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
   
9. pkts bytes target     prot opt in     out     source               destination         
   
10. 
    
11. Chain OUTPUT (policy ACCEPT 290 packets, 23774 bytes)
    
12. pkts bytes target     prot opt in     out     source               destination         
    
13. 
    
14. Chain SYNCHK (1 references)
    
15. pkts bytes target     prot opt in     out     source               destination         
    
16.     0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp LOG flags 0 level 7 prefix `'SYNCHK-TCP'
    
17.     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:30022
    
18.     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp
    
19.     0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
    

復(fù)制代碼

iptables LOG為空

Godbach

回復(fù) 22# atkisc
errr.

你的 SSH 端口就是 30022 嗎。

看下日志里面是否有關(guān) iptables 或者 netfilter 的錯(cuò)誤記錄。

此外，你手工執(zhí)行命令，添加一個(gè)創(chuàng)建一個(gè) 自定義鏈，添加規(guī)則看看又沒有什么提示


   

atkisc

Godbach 發(fā)表于 2013-11-28 14:39
回復(fù) 22# atkisc
errr.

我大概找到問題了，4.8上默認(rèn)有三個(gè)版本的gcc(gcc 3.2/3.4/4.2)，模式gcc 3.4，我換成了gcc.4.1就可以， 不過默認(rèn)編譯出來的是32位的內(nèi)核

Godbach

回復(fù) 24# atkisc

:wink:


   

atkisc

Godbach 發(fā)表于 2013-11-28 15:08
回復(fù) 24# atkisc

非常感謝Godbach