Почему iptables не записывает в лог?

Question

[Камил]

#!/bin/bash 
# 
# iptables 
# 
# 
iptables -P INPUT ACCEPT; iptables -F

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -j ACCEPT


iptables -A INPUT -m conntrack --ctstate NEW -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP


# ctstate
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

#Записываем все пакеты с порта $Link размером от 500 до 65535 байтов
iptables -A INPUT -p tcp -m multiport --dports 123,1234,12345 -m length --length 500:65535 -j LOG --log-prefix "TEST"

iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -P OUTPUT ACCEPT

Почему не записывает в лог? Что делаю не так?

Answer 1

[Mystray]

Потому, что так написаны правила.
Первый SYN-пакет у вас не будет записан, так как меньше 500 байт, и пойдет дальше, где будет принят согласно -P INPUT ACCEPT, а все последующие пакеты в рамках уже установленного соединения будут приниматься раньше, чем правило логирования, согласно --ctstate ESTABLISHED,RELATED -j ACCEPT
Порядок имеет значение, а действия вроде DROP или ACCEPT - являются терминирующими, после них пакет дальше не идет по цепочке правил

Comments

[Камил]

Как правильно тогда сделать?

[Mystray]

...¢, поставить LOG выше ACCEPT-а?