关于2.6.35静态内核和netfilter的问题

Godbach

回复 19# atkisc

Chain INPUT (policy ACCEPT 1 packets, 328 bytes)
pkts bytes target     prot opt in     out     source               destination         
    4   240 SYNCHK     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp
  ...        

Chain SYNCHK (1 references)
pkts bytes target     prot opt in     out     source               destination         
    0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:30022 LOG flags 0 level 7 prefix `'SYNCHK-TCP-30022''
...
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0   

有 4 个 报文进入了 SYNCHK 链，但没有命中你的规则。

这样调试一下：
INPUT 处 SYNCHK 链之前的那条 LOG 规则还保留，过滤 30022 端口

SYNCHK 链中的第一条 LOG 规则，不加端口过滤，记录下所有的 TCP 报文。然后再看命中情况以及 LOG
   

atkisc

Godbach 发表于 2013-11-28 13:32
回复 19# atkisc

按您的要求,改动成如下规则

1. 
   
2. *filter
   
3. :INPUT ACCEPT [0:0]
   
4. :FORWARD ACCEPT [0:0]
   
5. :OUTPUT ACCEPT [0:0]
   
6. :SYNCHK - [0:0]
   
7. -A INPUT -i eth0 -p tcp -m tcp -j SYNCHK
   
8. -A INPUT -i eth0 -p tcp -m tcp -j LOG --log-prefix 'Input-TCP' --log-level 7
   
9. -A INPUT -i eth0 -p tcp -m tcp --dport 30022 -j LOG --log-prefix 'Input-TCP-30022' --log-level 7
   
10. -A SYNCHK -p tcp -m tcp -j LOG --log-prefix 'SYNCHK-TCP --log-level 7
    
11. -A SYNCHK -p tcp -m tcp --dport 30022 -j ACCEPT
    
12. -A SYNCHK -p tcp -m tcp -j ACCEPT
    
13. -A SYNCHK -p tcp -j DROP
    
14. COMMIT
    

复制代码

尝试SSH登陆后的iptables -nvL

1. 
   
2. Chain INPUT (policy ACCEPT 290 packets, 23774 bytes)
   
3. pkts bytes target     prot opt in     out     source               destination         
   
4.    14  1384 SYNCHK     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp
   
5.     0     0 LOG        tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp LOG flags 0 level 7 prefix `'Input-TCP''
   
6.     0     0 LOG        tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:30022 LOG flags 0 level 7 prefix `'Input-TCP-30022''
   
7. 
   
8. Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
   
9. pkts bytes target     prot opt in     out     source               destination         
   
10. 
    
11. Chain OUTPUT (policy ACCEPT 290 packets, 23774 bytes)
    
12. pkts bytes target     prot opt in     out     source               destination         
    
13. 
    
14. Chain SYNCHK (1 references)
    
15. pkts bytes target     prot opt in     out     source               destination         
    
16.     0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp LOG flags 0 level 7 prefix `'SYNCHK-TCP'
    
17.     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:30022
    
18.     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp
    
19.     0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
    

复制代码

iptables LOG为空

Godbach

回复 22# atkisc
errr.

你的 SSH 端口就是 30022 吗。

看下日志里面是否有关 iptables 或者 netfilter 的错误记录。

此外，你手工执行命令，添加一个创建一个 自定义链，添加规则看看又没有什么提示


   

atkisc

Godbach 发表于 2013-11-28 14:39
回复 22# atkisc
errr.

我大概找到问题了，4.8上默认有三个版本的gcc(gcc 3.2/3.4/4.2)，模式gcc 3.4，我换成了gcc.4.1就可以， 不过默认编译出来的是32位的内核

Godbach

回复 24# atkisc

:wink:


   

atkisc

Godbach 发表于 2013-11-28 15:08
回复 24# atkisc

非常感谢Godbach