请教iptables的日志问题

jjzx_zy

现公安局要求NAT出口记录要保证到六十天，我在iptables上这样做了一下，使用iptables -t mangle -A POSTROUTING -j LOG --log-level warn  --log-prefix "OUT PACKETS:",结果上网速度变慢，网关计算机好像处理不过来，20小时，就写了90多M的内容。请问有什么更好的办法，使得资源利用战占用更少。

kns1024wh

使用空设备 /dev/null写入

jjzx_zy

原帖由 kns1024wh 于 2008-12-29 09:18 发表
使用空设备 /dev/null写入

如果用/dev/null那我怎么写到我们的日志文件里?能不能说明白一点?首先我要保证能把NAT记录写到我的日志文件里,二就是要让资源占用率更低

kenduest

原帖由 jjzx_zy 於 2008-12-28 23:45 發表
現公安局要求NAT出口記錄要保證到六十天，我在iptables上這樣做了一下，使用iptables -t mangle -A POSTROUTING -j LOG --log-level warn  --log-prefix "OUT PACKETS:",結果上網速度變慢，網關計算機好像處理不 ...

1. 
   
2. iptables -t mangle -A POSTROUTING -m state --state NEW,RELATED -j LOG --log-level warn  --log-prefix "OUT
   

复制代码

另外一個使用 -m limit 配合，請參閱一下 iptables 手冊文件。

jjzx_zy

原帖由 kenduest 于 2008-12-29 18:00 发表



iptables -t mangle -A POSTROUTING -m state --state NEW,RELATED -j LOG --log-level warn  --log-prefix "OUT


另外一個使用 -m limit 配合，請參閱一下 iptables 手冊文件。

谢谢.我试一试

[ 本帖最后由 jjzx_zy 于 2008-12-31 10:48 编辑 ]

7717060

原帖由 kenduest 于 2008-12-29 18:00 发表



iptables -t mangle -A POSTROUTING -m state --state NEW,RELATED -j LOG --log-level warn  --log-prefix "OUT


另外一個使用 -m limit 配合，請參閱一下 iptables 手冊文件。

应该加 -m limit      然后在把日志放到ulog中

7717060

Match        --limit
Example        iptables -A INPUT -m limit --limit 3/hour
Explanation        为limit match设置最大平均匹配速 率，也就是单位时间内limit match可以匹配几个包。它的形式是一个数值加一个时 间单位，可以是/second /minute /hour /day 。默认值是每小时3次（用户角度），即3/hour ，也就是每20分钟一次（iptables角度）。
Match        --limit-burst
Example        iptables -A INPUT -m limit --limit-burst 5
Explanation        这里定义的是limit match的峰值， 就是在单位时间（这个时间由上面的--limit指定）内最多可匹配几个包（由此可 见，--limit-burst的值要比--limit的大）。默认值是5。 为了观察它是如何工作的，你可以启动“只有一条规则的脚本”Limit- match.txt，然后用不同的时间间隔、发送不同数量的ping数据包。这样，通过返回的 echo replies就可以看出其工作方式了。