Linux HOWTO


Регистрация пакетов


Это полезный побочный эффект; вы можете отметить в журнале соответствующий условию правила пакет, используя флажок "-l". Для стандартных пакетов это обычно не нужн, но это весьма полезная возможность в тех случаях, когда вы хотите отловить какие-то особые события.

Ядро записывает в журнал записи типа:

Packet log: input DENY eth0 PROTO=17 192.168.2.1:53 192.168.1.1:1025 L=34 S=0x00 I=18 F=0x0000 T=254

Эта журнальная запись создается с таким расчетом, чтобы быть краткой, но и содержать техническую информацию, полезную только для гуру-сетевиков, но она может быть полезной и для остальной части пользователей. Журнальная запись расшифровывается так:

  1. `input' - цепочка, которая содержала правило, чье соответствие пакету вызывает запись сообщения в журнал.
  2. `DENY' - то, что правило будет делать с пакетом. Если это - "-", то правило не воздействует на пакет (учетное правило).
  3. "eth0" - имя интерфейса. Поскольку это была цепочка input, то значит пакет пришел на "eth0".
  4. `PROTO=17' означает, что это пакет протокола номер 17. Список номеров протоколов задан в "/etc/protocols'. Наиболее часто используемые протоколы 1 (ICMP), 6 (TCP) и 17 (UDP).
  5. "192.168.2.1" - это IP адрес, с которого пришел пакет
  6. ":53" означает, что порт источника имеет номер 53. В "/etc/services' это описано как порт `domain' (то есть это - вероятно ответ DNS). Для UDP и TCP, этот номер порта источника. Для ICMP, это - тип ICMP. Для других он будет 65535.
  7. "192.168.1.1" - IP адрес назначения.
  8. ":1025" означает, что порт назначения имеет номер 1025. Для UDP и TCP этот номер - порт назначения. Для ICMP это - код ICMP. Для других он будет 65535.
  9. "L=34' означает, что пакет был общей длиной 34 байта.
  10. "S=0x00' означает поле Type of Service (делится 4, чтобы получить Type of Service как используется ipchains).
  11. `I=18' идентификатор IP.
  12. "F=0x0000' является 16-разрядным смещением фрагмента плюс флажки. Значение, начинающееся с "0x4" или "0x5", означает, что установлен бит Don't Fragment. "0x2" или "0x3" означает установку бита `More Fragments'; после этого ожидается прибытие следующих фрагментов. Остальная часть числа - смещение этого фрагмента, деленное на 8.



  13. Начало  Назад  Вперед