两条iptables的日志记录，有问题请解释下

73年生人

iptables设置如下：
IPTABLES -P INPUT DROP
iptables -A INPUT -p icmp -j LOG --log-level 4 --log-prefix "IPTABLES:"
iptables -A INPUT -p icmp -s 128.128.0.1  -j ACCEPT

现用两台电脑ping服务器：一台128.128.0.1，一台128.128.4.1;

tail -f /var/log/kern.log

Jun 24 10:15:12 AAA kernel: [26535703.285185] IPTABLES:IN=eth0 OUT= MAC=serverMAC:clientMAC:08:00 SRC=128.128.0.1 DST=128.128.0.254 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=46190 DF PROTO=ICMP TYPE=8 CODE=0 ID=6135 SEQ=18
Jun 24 10:15:17 AAA kernel: [26535707.743453] IPTABLES:IN=eth0 OUT= MAC=serverMAC:clientMAC:08:00 SRC=128.128.4.1 DST=128.128.0.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=42516 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=3840

问题是：
1、在serverMAC:clientMAC后面有:08:00是什么意思
2、许可的IP记录里有DF，未许可的IP记录里没DF，这个DF是什么意思？
3、在使用IPTABLES -P INPUT DROP后，怎样才能记录下被DROP的IP的访问记录？

humjb_1983

DF可能是禁止分片的意思。。

73年生人

humjb_1983 发表于 2014-06-24 13:21
DF可能是禁止分片的意思。。

我查了下，也感觉是这个意思。
但不明白为什么只有在日志规则下一行规则许可的ip记录里才禁止分片呢？

humjb_1983

呵呵，其它的就不太熟悉了~，需要专家们解答。