关于2.6.35静态内核和netfilter的问题

atkisc

大家好，我的问题是这样：

    我编译了一个2.6.35的静态内核，在使用iptables的时候，将INPUT链的规则导入到新链中，但是发现新链的规则却不能生效，通过iptables -nvL查看，INPUT链有包流量，但是新链却没有，求教问题，系统环境centos 4.8

Godbach

回复 1# atkisc

提供的信息不全。

你的规则是怎么配置的，iptables -nvL INPUT 的结果是什么，都可以给一下。

   

atkisc

Godbach 发表于 2013-11-28 10:01
回复 1# atkisc

提供的信息不全。

这是规则：

1. 
   
2. *filter
   
3. :INPUT ACCEPT [0:0]
   
4. :FORWARD ACCEPT [0:0]
   
5. :OUTPUT ACCEPT [0:0]
   
6. :SYNCHK - [0:0]
   
7. -A INPUT -i eth0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix 'New' --log-level 7
   
8. -A INPUT -i eth0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j SYNCHK
   
9. -A INPUT -i eth0 -p udp -j DROP
   
10. -A SYNCHK -p tcp -m tcp --dport 30222 -j LOG --log-prefix 'SYNCHK' --log-level 7
    
11. -A SYNCHK -p tcp -m tcp --dport 30222 -j ACCEPT
    
12. -A SYNCHK -p tcp -m tcp --dport 22 -j ACCEPT
    
13. -A SYNCHK -p tcp -j DROP
    
14. COMMIT
    

复制代码

这是iptables -nvL结果

1. 
   
2. Chain INPUT (policy ACCEPT 283 packets, 17912 bytes)
   
3. pkts bytes target     prot opt in     out     source               destination         
   
4.     6   360 LOG        tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x16/0x02 LOG flags 0 level 7 prefix `'New''
   
5.     6   360 SYNCHK     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x16/0x02
   
6.     5  1640 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           
   
7. 
   
8. Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
   
9. pkts bytes target     prot opt in     out     source               destination         
   
10. 
    
11. Chain OUTPUT (policy ACCEPT 253 packets, 301K bytes)
    
12. pkts bytes target     prot opt in     out     source               destination         
    
13. 
    
14. Chain SYNCHK (1 references)
    
15. pkts bytes target     prot opt in     out     source               destination         
    
16.     0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:30222 LOG flags 0 level 7 prefix `'SYNCHK''
    
17.     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:30222
    
18.     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
    
19.     0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0
    

复制代码

我也打印了一下LOG

1. 
   
2. [  276.382470] 'New'IN=eth0 OUT= MAC=fa:16:3e:3a:39:16:90:b1:1c:54:0d:0a:08:00 SRC=192.168.20.3 DST=192.168.20.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=44353 DF PROTO=TCP SPT=47924 DPT=30022 WINDOW=14600 RES=0x00 SYN URGP=0
   
3. [  277.381754] 'New'IN=eth0 OUT= MAC=fa:16:3e:3a:39:16:90:b1:1c:54:0d:0a:08:00 SRC=192.168.20.3 DST=192.168.20.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=44354 DF PROTO=TCP SPT=47924 DPT=30022 WINDOW=14600 RES=0x00 SYN URGP=0
   
4. [  279.381778] 'New'IN=eth0 OUT= MAC=fa:16:3e:3a:39:16:90:b1:1c:54:0d:0a:08:00 SRC=192.168.20.3 DST=192.168.20.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=44355 DF PROTO=TCP SPT=47924 DPT=30022 WINDOW=14600 RES=0x00 SYN URGP=0
   
5. [  283.381837] 'New'IN=eth0 OUT= MAC=fa:16:3e:3a:39:16:90:b1:1c:54:0d:0a:08:00 SRC=192.168.20.3 DST=192.168.20.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=44356 DF PROTO=TCP SPT=47924 DPT=30022 WINDOW=14600 RES=0x00 SYN URGP=0
   
6. [  484.535532] 'New'IN=eth0 OUT= MAC=fa:16:3e:3a:39:16:90:b1:1c:54:0d:0a:08:00 SRC=192.168.20.3 DST=192.168.20.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=36521 DF PROTO=TCP SPT=47926 DPT=30022 WINDOW=14600 RES=0x00 SYN URGP=0
   
7. [  485.534588] 'New'IN=eth0 OUT= MAC=fa:16:3e:3a:39:16:90:b1:1c:54:0d:0a:08:00 SRC=192.168.20.3 DST=192.168.20.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=36522 DF PROTO=TCP SPT=47926 DPT=30022 WINDOW=14600 RES=0x00 SYN URGP=0
   
8. [  487.534786] 'New'IN=eth0 OUT= MAC=fa:16:3e:3a:39:16:90:b1:1c:54:0d:0a:08:00 SRC=192.168.20.3 DST=192.168.20.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=36523 DF PROTO=TCP SPT=47926 DPT=30022 WINDOW=14600 RES=0x00 SYN URGP=0
   
9. [  491.534582] 'New'IN=eth0 OUT= MAC=fa:16:3e:3a:39:16:90:b1:1c:54:0d:0a:08:00 SRC=192.168.20.3 DST=192.168.20.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=36524 DF PROTO=TCP SPT=47926 DPT=30022 WINDOW=14600 RES=0x00 SYN URGP=0
   
10. [  499.534588] 'New'IN=eth0 OUT= MAC=fa:16:3e:3a:39:16:90:b1:1c:54:0d:0a:08:00 SRC=192.168.20.3 DST=192.168.20.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=36525 DF PROTO=TCP SPT=47926 DPT=30022 WINDOW=14600 RES=0x00 SYN URGP=0
    
11. [  515.534592] 'New'IN=eth0 OUT= MAC=fa:16:3e:3a:39:16:90:b1:1c:54:0d:0a:08:00 SRC=192.168.20.3 DST=192.168.20.100 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=36526 DF PROTO=TCP SPT=47926 DPT=30022 WINDOW=14600 RES=0x00 SYN URGP=0
    

复制代码

上述能看到数据包根本没到新链，我很不解

Godbach

回复 3# atkisc

你说的 SYNCHK 没流量是不准确的。iptables -vnL INPUT 的显示中是有报文经过 SYNCHK 的。

但是报文没有命中 SYNCHK 中配置的规则而已。


   

atkisc

Godbach 发表于 2013-11-28 10:28
回复 3# atkisc

你说的 SYNCHK 没流量是不准确的。iptables -vnL INPUT 的显示中是有报文经过 SYNCHK 的 ...

规则没生效我就忽略了到SYNCHK链，，求教，大概知道是哪里的问题吗

Godbach

回复 5# atkisc

配置的规则是静态的，需要有对应的报文采取匹配，才有计数。

也就是说，你当前下发了这几条规则之后，没有匹配上这几条规则的报文，所以没有计数。


   

atkisc

Godbach 发表于 2013-11-28 10:33
回复 5# atkisc

配置的规则是静态的，需要有对应的报文采取匹配，才有计数。

可是如果我直接走INPUT链的情况下是可以匹配到的。我尝试过将内核netfilter相关选项都选择也还是这样的结果

Godbach

回复 7# atkisc

你是说

-A SYNCHK -p tcp -m tcp --dport 30222 -j LOG --log-prefix 'SYNCHK' --log-level 7
-A SYNCHK -p tcp -m tcp --dport 30222 -j ACCEPT
-A SYNCHK -p tcp -m tcp --dport 22 -j ACCEPT

这几条规则放到 INPUT 中可以命中吗
   

atkisc

Godbach 发表于 2013-11-28 11:01
回复 7# atkisc

你是说

可以的，只要不新建链都可以命中

Godbach

回复 9# atkisc

这样，你把在 SYNCHK 链中加一条 记录报文的规则

看看有没有 TCP 端口为 30222 或者 22 的