Лог iptables в отдельный файл

Автор: Admin | 04.05.2014

Настройка журналирования iptables в отдельный файл iptables.log на Debian 7 Wheezy

Вступление
Подавляющее большинство руководств предлагают вариант внесения строки в /etc/rsyslog.conf типа:

kern.warning /var/log/iptables.log
или как и предлагаемый ниже, но с небольшими вариациями
:msg, contains, "log-prefix" -/var/log/iptables.log

Но не один у меня на Debian 7 так и не заработал. Вернее, заработал, и в обоих случаях сообщения писались в /var/log/iptables.log, но продолжали дублироваться в /var/log/messages и /var/log/syslog, что очень раздражало, и задача была незавершенной. Поэтому и решил написать об этом.

В первую очередь надо знать как iptables вообще логирует. В качестве примера взял правило которое разрешает пинги и логирует их:

iptables -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j LOG --log-prefix "Ping detected: "
iptables -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT

Теперь по событию подпадающее под это правило будет писаться такое сообщение в /var/log/messages и /var/log/syslog:

kernel: [122972.300408] Ping detected: IN=eth0 OUT= MAC=00:35:c9:36:7e:d1:00:24:5d:а6:c2:40:08:90 SRC=xxx.xxx.xxx.xxx DST=xxx.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=124 ID=23020 PROTO=ICMP TYPE=8 CODE=0 ID=33602 SEQ=2462

Если попаданий в правила достаточно много, то невозможно проанализировать другие сообщения, т.к. сообщения iptables’а наводняют весь файл логов.

Сама настройка
Для избежания вышеописанного необходимо изменить критерий в префиксе сообщения, например так:

iptables -A INPUT -p ICMP -s 0/0 --icmp-type 8 -j LOG --log-prefix "Iptables: Ping detected: "
iptables -A INPUT -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT

И создать файл /etc/rsyslog.d/iptables.conf со следующим содержанием:

echo ':msg, contains, "Iptables: " -/var/log/iptables.log' > /etc/rsyslog.d/iptables.conf
echo '& ~' >> /etc/rsyslog.d/iptables.conf

Где параметр
& ~ говорит о том что дальнейшую обработку записи производить не надо, следовательно она не попадет в другие файлы логов
"Iptables: " — log-prefix — критерий с которого начинается запись лога, чтобы rsyslog смог ее отловить и перенаправить в нужный файл. Его можно было и не менять, а оставить как есть Ping detected, но если правило не одно, то удобнее иметь общий префикс для всех правил, который и был сделан.
/var/log/iptables.log — файл в который писать лог

Перезапустить демон rsyslog:

/etc/init.d/rsyslog restart

Теперь сообщение в логе /var/log/iptables.log выглядит так:

kernel: [122972.300408] Iptables: Ping detected: IN=eth0 OUT= MAC=00:35:c9:36:7e:d1:00:24:5d:а6:c2:40:08:90 SRC=xxx.xxx.xxx.xxx DST=xxx.xxx.xxx.xxx LEN=60 TOS=0x00 PREC=0x00 TTL=124 ID=23020 PROTO=ICMP TYPE=8 CODE=0 ID=33602 SEQ=2462

Наконец iptables пишет в свой личный лог не засирая системные.


Можно пойти дальше, создав правила для разных событий и каждое событие направить в свой лог, например:

# Логировать пакеты со статусом INVALID 
$IPT -A INPUT -m state --state INVALID -j LOG --log-prefix "Iptables: Invalid packet: "
# Логировать INPUT пакеты, которые не попали ни в одно правило
$IPT -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-prefix "Iptables: INPUT packet died: "
# Логировать FORWARD пакеты, которые не попали ни в одно правило
$IPT -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-prefix "Iptables: FORWARD packet died: "

Создать правила для ведения логирования каждого файла

mcedit /etc/rsyslog.d/iptables_invalid.conf
:msg, contains, "Iptables: Invalid packet" -/var/log/iptables_invalid.log
& ~
mcedit /etc/rsyslog.d/iptables_input.conf
:msg, contains, "Iptables: INPUT" -/var/log/iptables_input.log
& ~
mcedit /etc/rsyslog.d/iptables_forward.conf
:msg, contains, "Iptables: FORWARD" -/var/log/iptables_forward.log
& ~

Перезапустить rsyslog:

/etc/init.d/rsyslog restart

При такой конфигурации лог iptables разделен на три части и каждая пишется в свой файл.


Ротация логов Iptables

Настроить ротацию логов iptables можно создав файл /etc/logrotate.d/iptables со следующим содержимым. Для одного общего лога:

/var/log/iptables.log {
    daily
    rotate 30
    compress
    missingok
    notifempty
    sharedscripts
}

или для раздельных логов:

/var/log/iptables_invalid.log {
    daily
    rotate 30
    compress
    missingok
    notifempty
}

/var/log/iptables_input.log {
    daily
    rotate 30
    compress
    missingok
    notifempty
}

/var/log/iptables_forward.log {
    daily
    rotate 30
    compress
    missingok
    notifempty
}

Где
daily — ротировать ежедневно
rotate 30 — сохранять 30 последних ротированных файлов
compress — сжимать
missingok — отсутствие файла не является ошибкой
notifempty — не обрабатывать пустые файлы

Дабы убедиться в работоспособности, можно принудительно запустить ротацию:

logrotate -f /etc/logrotate.conf

Комментарии к посту “Лог iptables в отдельный файл

  1. Andrey

    Для ubuntu нужно учесть ещё одну тонкость, в /etc/rsyslog.d/ есть файлик 50-default.conf и если просто добавить указанные файлы iptables_*.conf в эту директорию, то они будут иметь наименьший приоритет и правил в них будут обрабатываться уже после того самого 50-… что приведёт к тому, что сообщения будут писаться в настроенные файлы и в syslog останутся. Поэтому нужно либо править 50-default.conf на сей предмет, либо называть файлы что-то типа 49-iptables_*conf. Тогда всё будет хорошо. В дебиан я не смотрел как это устроено, но подозреваю, что может быть аналогично.

  2. selivan

    Можно вместо «:msg, contains» использовать «:msg, startswith» — так по идее будет работать быстрее, тем более что мы пропускаем через этот фильтр все сообщения syslog.

  3. hallomain

    Приветствую, коллеги!
    Настроил все по данному мануалу, нов нужный лог не идут записи с «Iptables: «, как здесь и написано, они идут в /var/log/syslog и в /var/log/kern.log
    что я имею:
    Файл 49-iptables.conf
    # cat /etc/rsyslog.d/49-iptables.conf
    # :msg, startswith, «Iptables: » -/var/log/iptables.log
    # & ~
    Создан файл /var/log/iptables.log
    ему назначены права 666

    Собственно, сами правила IPTABLES:
    # Generated by iptables-save v1.6.0 on Thu Jul 26 12:55:47 2018
    *mangle
    :PREROUTING ACCEPT [7055:1268864]
    :INPUT ACCEPT [600:62732]
    :FORWARD ACCEPT [6293:1176316]
    :OUTPUT ACCEPT [451:55820]
    :POSTROUTING ACCEPT [6739:1230820]
    COMMIT
    # Completed on Thu Jul 26 12:55:47 2018
    # Generated by iptables-save v1.6.0 on Thu Jul 26 12:55:47 2018
    *nat
    :PREROUTING ACCEPT [216:35921]
    :INPUT ACCEPT [15:1334]
    :OUTPUT ACCEPT [4:246]
    :POSTROUTING ACCEPT [119:6329]
    -A PREROUTING -i eth0 -p tcp -m tcp —dport 1973 -j DNAT —to-destination 172.23.11.50:22
    -A PREROUTING -i eth0 -p tcp -m tcp —dport 3399 -j DNAT —to-destination 172.23.11.100:3389
    -A PREROUTING -i eth0 -p tcp -m tcp —dport 3391 -j DNAT —to-destination 172.23.11.77:3389
    -A PREROUTING -i eth0 -p tcp -m tcp —dport 2221 -j DNAT —to-destination 172.23.11.155
    -A PREROUTING -i eth0 -p tcp -m tcp —dport 81 -j DNAT —to-destination 172.23.11.55:80
    -A PREROUTING -i eth0 -p tcp -m tcp —dport 8444 -j DNAT —to-destination 172.23.11.55:443
    -A PREROUTING -i eth0 -p tcp -m tcp —dport 25 -j DNAT —to-destination 172.23.11.55
    -A PREROUTING -i eth0 -p tcp -m tcp —dport 143 -j DNAT —to-destination 172.23.11.55
    -A PREROUTING -i eth0 -p tcp -m tcp —dport 993 -j DNAT —to-destination 172.23.11.55
    -A PREROUTING -i eth0 -p tcp -m tcp —dport 110 -j DNAT —to-destination 172.23.11.55
    -A PREROUTING -i eth0 -p tcp -m tcp —dport 995 -j DNAT —to-destination 172.23.11.55
    -A PREROUTING -i eth0 -p tcp -m tcp —dport 465 -j DNAT —to-destination 172.23.11.55
    -A PREROUTING -i eth0 -p tcp -m tcp —dport 587 -j DNAT —to-destination 172.23.11.55
    -A PREROUTING -i eth0 -p tcp -m tcp —dport 80 -j DNAT —to-destination 172.23.11.50
    -A PREROUTING -i eth0 -p tcp -m tcp —dport 443 -j DNAT —to-destination 172.23.11.50
    -A PREROUTING -i eth0 -p tcp -m tcp —dport 21 -j DNAT —to-destination 172.23.11.100
    -A PREROUTING -i eth0 -p tcp -m tcp —dport 20 -j DNAT —to-destination 172.23.11.100
    -A PREROUTING -i eth0 -p tcp -m tcp —dport 32400 -j DNAT —to-destination 172.23.11.100
    -A PREROUTING -i eth0 -p tcp -m tcp —dport 25565 -j DNAT —to-destination 172.23.11.55
    -A PREROUTING -s 172.23.11.0/24 -p tcp -m tcp —dport 443 -j REDIRECT —to-ports 3129
    -A PREROUTING -s 172.23.11.0/24 -p tcp -m tcp —dport 80 -j REDIRECT —to-ports 3128
    -A POSTROUTING -s 172.23.104.0/24 -o eth0 -j MASQUERADE
    -A POSTROUTING -s 172.23.103.0/24 -o eth0 -j MASQUERADE
    -A POSTROUTING -o eth0 -j MASQUERADE
    COMMIT
    # Completed on Thu Jul 26 12:55:47 2018
    # Generated by iptables-save v1.6.0 on Thu Jul 26 12:55:47 2018
    *filter
    :INPUT DROP [44:8982]
    :FORWARD DROP [0:0]
    :OUTPUT ACCEPT [0:0]
    :REJECT_FLOOD28 — [0:0]
    :REJECT_FLOOD46 — [0:0]
    -A INPUT -i lo -j ACCEPT
    -A INPUT -i eth1 -j ACCEPT
    -A INPUT -i tun0 -j ACCEPT
    -A INPUT -s 172.23.104.0/24 -d 172.23.11.0/24 -j ACCEPT
    -A INPUT -i eth0 -p udp -m udp —dport 1194 -j ACCEPT
    -A INPUT -i lo -p udp -m udp —dport 1194 -j ACCEPT
    -A INPUT -i eth1 -p udp -m udp —dport 1194 -j ACCEPT
    -A INPUT -i eth0 -p gre -j ACCEPT
    -A INPUT -i eth0 -p tcp -m tcp —dport 1723 -j ACCEPT
    -A INPUT -p tcp -m state —state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -p udp -m state —state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -i eth0 -p udp -m udp —sport 53 -j ACCEPT
    -A INPUT -p tcp -m tcp —dport 80 -j ACCEPT
    -A INPUT -p tcp -m tcp —dport 443 -j ACCEPT
    -A INPUT -i eth1 -p icmp -m icmp —icmp-type 0 -j ACCEPT
    -A INPUT -i eth1 -p icmp -m icmp —icmp-type 8 -j ACCEPT
    -A INPUT -i eth0 -p icmp -m icmp —icmp-type 4 -j ACCEPT
    -A INPUT -i eth0 -p icmp -m icmp —icmp-type 11 -j ACCEPT
    -A INPUT -i eth0 -p tcp -m multiport —dports 27014:27050 -j ACCEPT
    -A INPUT -i eth0 -p udp -m multiport —dports 27000:27030 -j ACCEPT
    -A INPUT -i eth0 -p udp -m multiport —dports 3478:3480 -j ACCEPT
    -A INPUT -i eth0 -p udp -m udp —dport 4380 -j ACCEPT
    -A INPUT -i eth0 -p udp -m udp —dport 27031 -j ACCEPT
    -A INPUT -i eth0 -p udp -m udp —dport 27036 -j ACCEPT
    -A INPUT -m state —state INVALID -j LOG —log-prefix «iptables: Invalid packet: »
    -A INPUT -m state —state INVALID -j DROP
    -A INPUT -p tcp -m tcp —tcp-flags SYN,ACK SYN,ACK -m state —state NEW -j REJECT —reject-with tcp-reset
    -A INPUT -p tcp -m tcp ! —tcp-flags FIN,SYN,RST,ACK SYN -m state —state NEW -j DROP
    -A INPUT -p tcp -m tcp —tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
    -A INPUT -p tcp -m tcp —tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
    -A INPUT -p tcp -m tcp —tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j DROP
    -A INPUT -p tcp -m tcp —tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
    -A INPUT -p tcp -m tcp —tcp-flags SYN,RST SYN,RST -j DROP
    -A INPUT -p tcp -m tcp —tcp-flags FIN,SYN FIN,SYN -j DROP
    -A INPUT -i eth0 -p udp -m udp —dport 27015 -m length —length 28 -j REJECT_FLOOD28
    -A INPUT -i eth0 -p udp -m udp —dport 27015 -m length —length 46 -j REJECT_FLOOD46
    -A INPUT -i eth0 -j LOG —log-prefix «iptables: INPUT DROP »
    -A INPUT -m conntrack —ctstate INVALID -j LOG —log-prefix «iptables: INVALID $EXT »
    -A INPUT -p tcp -m tcp —dport 80 —tcp-flags FIN,SYN,RST,ACK SYN -m connlimit —connlimit-above 10 —connlimit-mask 32 —connlimit-saddr -j DROP
    -A INPUT -p udp -m udp —dport 53 -m connlimit —connlimit-above 5 —connlimit-mask 32 —connlimit-saddr -j DROP
    -A INPUT -p tcp -m tcp —dport 22 —tcp-flags FIN,SYN,RST,ACK SYN -m connlimit —connlimit-above 3 —connlimit-mask 32 —connlimit-saddr -j REJECT —reject-with icmp-port-unreachable
    -A INPUT -p tcp -m tcp —dport 80 —tcp-flags FIN,SYN,RST,ACK SYN -m connlimit —connlimit-above 20 —connlimit-mask 24 —connlimit-saddr -j DROP
    -A INPUT -i eth0 -p icmp -m icmp —icmp-type 0 -j ACCEPT
    -A INPUT -i eth0 -p icmp -m icmp —icmp-type 3 -j ACCEPT
    -A INPUT -i eth0 -p icmp -m icmp —icmp-type 11 -j ACCEPT
    -A INPUT -i eth0 -p icmp -m icmp —icmp-type 8 -j ACCEPT
    -A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 443 -j ACCEPT
    -A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 443 -j LOG —log-prefix «iptables: Web Mail 8444 »
    -A FORWARD -s 172.23.104.0/24 -d 172.23.11.0/24 -i tun+ -o eth1 -p icmp -j ACCEPT
    -A FORWARD -s 172.23.11.0/24 -d 172.23.104.0/24 -i eth1 -o tun+ -p icmp -j ACCEPT
    -A FORWARD -s 172.23.104.0/24 -d 172.23.11.0/24 -i tun+ -o eth1 -p tcp -m tcp -m multiport —dports 22,3389 -j ACCEPT
    -A FORWARD -s 172.23.11.0/24 -d 172.23.104.0/24 -i eth1 -o tun+ -p tcp -m tcp -m multiport —sports 22,3389 -j ACCEPT
    -A FORWARD -s 172.23.103.0/24 -i ppp0 -m conntrack —ctstate NEW -j ACCEPT
    -A FORWARD -p gre -j ACCEPT
    -A FORWARD -m conntrack —ctstate RELATED,ESTABLISHED -j ACCEPT
    -A FORWARD -s 172.23.11.0/24 -i eth1 -m conntrack —ctstate NEW -j ACCEPT
    -A FORWARD -d 172.23.11.50/32 -i eth0 -o eth1 -p tcp -m tcp —dport 22 -j ACCEPT
    -A FORWARD -d 172.23.11.100/32 -i eth0 -o eth1 -p tcp -m tcp —dport 3389 -j LOG —log-prefix «iptables: RDP — LC »
    -A FORWARD -d 172.23.11.100/32 -i eth0 -o eth1 -p tcp -m tcp —dport 3389 -j ACCEPT
    -A FORWARD -d 172.23.11.77/32 -i eth0 -o eth1 -p tcp -m tcp —dport 3389 -j LOG —log-prefix «iptables: RDP — TS »
    -A FORWARD -d 172.23.11.77/32 -i eth0 -o eth1 -p tcp -m tcp —dport 3389 -j ACCEPT
    -A FORWARD -d 172.23.11.155/32 -i eth0 -o eth1 -p tcp -m tcp —dport 2221 -j ACCEPT
    -A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 80 -j LOG —log-prefix «iptables: Web MAil 81 »
    -A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 80 -j ACCEPT
    -A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 25 -j LOG —log-prefix «iptables: SMTP »
    -A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 25 -j ACCEPT
    -A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 143 -j ACCEPT
    -A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 993 -j ACCEPT
    -A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 110 -j ACCEPT
    -A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 995 -j ACCEPT
    -A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 465 -j ACCEPT
    -A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 587 -j ACCEPT
    -A FORWARD -d 172.23.11.50/32 -i eth0 -o eth1 -p tcp -m tcp —dport 80 -j LOG —log-prefix «iptables: HTTP »
    -A FORWARD -d 172.23.11.50/32 -i eth0 -o eth1 -p tcp -m tcp —dport 80 -j ACCEPT
    -A FORWARD -d 172.23.11.50/32 -i eth0 -o eth1 -p tcp -m tcp —dport 443 -j LOG —log-prefix «iptables: HTPPS »
    -A FORWARD -d 172.23.11.50/32 -i eth0 -o eth1 -p tcp -m tcp —dport 443 -j ACCEPT
    -A FORWARD -d 172.23.11.100/32 -i eth0 -o eth1 -p tcp -m tcp —dport 21 -j LOG —log-prefix «iptables: FTP-IN »
    -A FORWARD -d 172.23.11.100/32 -i eth0 -o eth1 -p tcp -m tcp —dport 21 -j ACCEPT
    -A FORWARD -d 172.23.11.100/32 -i eth0 -o eth1 -p tcp -m tcp —dport 32400 -j LOG —log-prefix «iptables: PLEX »
    -A FORWARD -d 172.23.11.100/32 -i eth0 -o eth1 -p tcp -m tcp —dport 32400 -j ACCEPT
    -A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 25565 -j LOG —log-prefix «iptables: MINCRAFT »
    -A FORWARD -d 172.23.11.55/32 -i eth0 -o eth1 -p tcp -m tcp —dport 25565 -j ACCEPT
    -A FORWARD -m limit —limit 3/min —limit-burst 3 -j LOG —log-prefix «iptables: FORWARD packet died »
    -A FORWARD -d 184.168.221.104/32 -i eth1 -j LOG —log-prefix «iptables: CONFICKER DETECTED » —log-level 6
    -A FORWARD -d 199.59.243.117/32 -i eth1 -j LOG —log-prefix «iptables: CONFICKER DETECTED » —log-level 6
    -A FORWARD -d 199.59.243.118/32 -i eth1 -j LOG —log-prefix «iptables: CONFICKER DETECTED » —log-level 6
    -A FORWARD -d 199.59.243.119/32 -i eth1 -j LOG —log-prefix «iptables: CONFICKER DETECTED » —log-level 6
    -A FORWARD -d 199.59.243.120/32 -i eth1 -j LOG —log-prefix «iptables: CONFICKER DETECTED » —log-level 6
    -A FORWARD -d 199.59.243.121/32 -i eth1 -j LOG —log-prefix «iptables: CONFICKER DETECTED » —log-level 6
    -A FORWARD -d 216.146.38.70/32 -i eth1 -j LOG —log-prefix «iptables: CONFICKER DETECTED » —log-level 6
    -A FORWARD -d 216.146.39.70/32 -i eth1 -j LOG —log-prefix «iptables: CONFICKER DETECTED » —log-level 6
    -A FORWARD -d 216.146.43.70/32 -i eth1 -j LOG —log-prefix «iptables: CONFICKER DETECTED » —log-level 6
    -A FORWARD -d 91.198.22.70/32 -i eth1 -j LOG —log-prefix «iptables: CONFICKER DETECTED » —log-level 6
    -A OUTPUT -o lo -j ACCEPT
    -A OUTPUT -o eth1 -j ACCEPT
    -A OUTPUT -o tun0 -j ACCEPT
    -A OUTPUT -p udp -m udp —sport 1194 -m conntrack —ctstate RELATED,ESTABLISHED -j ACCEPT
    -A OUTPUT -p tcp -m tcp —sport 32768:60999 -j ACCEPT
    -A OUTPUT -p udp -m udp —sport 32768:60999 -j ACCEPT
    -A OUTPUT -o eth0 -p udp -m udp —dport 53 -j ACCEPT
    -A REJECT_FLOOD28 -j LOG —log-prefix «iptables: FLOOD LENGTH 28 » —log-level 6
    -A REJECT_FLOOD28 -j DROP
    -A REJECT_FLOOD46 -j LOG —log-prefix «iptables: FLOOD LENGTH 46 » —log-level 6
    -A REJECT_FLOOD46 -j DROP
    COMMIT
    # Completed on Thu Jul 26 12:55:47 2018

    1. hallomain

      попровка.
      содеожимое файла /etc/rsyslog.d/49-iptables.conf
      :msg, startswith, «Iptables: » -/var/log/iptables.log
      & ~

      1. hallomain

        блин, он меняет кавычки…
        в общем, в файле нормалные кавычки прописаны

    2. admin Автор записи

      Первое, что бросается в глаза — разный регистр в настройке iptables и файла конфига rsyslog
      Для форматирования используйте тег code или

      pre
      1. hallomain

        Регистра изменил:
        cat /etc/rsyslog.d/49-iptables.conf
        [code]
        :msg, startswith, «iptables: » -/var/log/iptables.log
        & ~
        [/code]
        Записи по прежнему не идет

  4. hallomain

    Повторюсь…
    В cat /etc/rsyslog.d/49-iptables.conf

    :msg, startswith, «iptables: » -/var/log/iptables.log
    & ~

    Записи по прежнему не идет

  5. hallomain

    Так и не понял что было, но после замены имен файлов /var/log/iptables.log на /var/log/1-ipfw.log и /etc/rsyslog/49-iptables.conf на /etc/rsyslog/10-iptables.conf, все заработало

    1. selivan

      Значит, в /etc/rsyslog уже был файл с меньшим номером, перехватывающий все сообщения с facility=kern

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *