nftables не пишет в syslog

Question 1

Ну... Благодаря подсказке @anx я понял, что, по-видимому,сетевой фильтресть некоторые трудности с отправкой данныхrsyslog.

Вероятно, это как-то связано с тем, что хост представляет собой контейнер LXC без собственного ядра иcgroupsв гипервизоре... (Буфф, я вступаю на темную территорию)... Ну... Ладно.

В любом случае, если у кого-то возникнет похожая проблема, мне удалось получить некоторые данные журнала, отправив их вулогд. Вот шаги, которые нужно выполнить, чтобы запустить базовый пример:

# apt-get -y install nftables ulogd2
# nft flush ruleset
# nft add table inet filter
# nft add chain inet filter input '{ type filter hook input priority 0 ; }'
# nft add rule inet filter input log prefix "FINDME" group 0 accept
# nft list ruleset
table inet filter {
    chain input {
        type filter hook input priority 0; policy accept;
        log prefix "FINDME" group 0 accept
    }
}
# tail -f /var/log/ulog/syslogemu.log

Answer

Ну... Благодаря подсказке @anx я понял, что, по-видимому,сетевой фильтресть некоторые трудности с отправкой данныхrsyslog.

Вероятно, это как-то связано с тем, что хост представляет собой контейнер LXC без собственного ядра иcgroupsв гипервизоре... (Буфф, я вступаю на темную территорию)... Ну... Ладно.

В любом случае, если у кого-то возникнет похожая проблема, мне удалось получить некоторые данные журнала, отправив их вулогд. Вот шаги, которые нужно выполнить, чтобы запустить базовый пример:

# apt-get -y install nftables ulogd2
# nft flush ruleset
# nft add table inet filter
# nft add chain inet filter input '{ type filter hook input priority 0 ; }'
# nft add rule inet filter input log prefix "FINDME" group 0 accept
# nft list ruleset
table inet filter {
    chain input {
        type filter hook input priority 0; policy accept;
        log prefix "FINDME" group 0 accept
    }
}
# tail -f /var/log/ulog/syslogemu.log

Question 2

Я столкнулся с очень похожей проблемой: nftables не регистрировался при запуске внутри сетевого пространства имен. Решение от Julen не сработало для меня.

Поскольку я не запускаю ни один контейнер, я могу решить свою проблему с помощью

echo 1 >/proc/sys/net/netfilter/nf_log_all_netns

Подробнее: https://blog.raymond.burkholder.net/index.php?/archives/787-nftables-network-namespace-logging.html

Answer

Я столкнулся с очень похожей проблемой: nftables не регистрировался при запуске внутри сетевого пространства имен. Решение от Julen не сработало для меня.

Поскольку я не запускаю ни один контейнер, я могу решить свою проблему с помощью

echo 1 >/proc/sys/net/netfilter/nf_log_all_netns

Подробнее: https://blog.raymond.burkholder.net/index.php?/archives/787-nftables-network-namespace-logging.html

nftables не пишет в syslog

решение1

решение2

Связанный контент