ポリシーによって破棄されたパケットをnftablesに記録するにはどうすればよいですか？

Question

入力チェーンでパケットをドロップするポリシーがあります

 chain input { type filter hook input priority 0; policy drop;

これらのドロップされたパケットだけをログに記録するにはどうすればよいですか？

John Greene · Answer

まあ、nftablesチェーンの最後で、どのような種類のパケットがログに記録されているかについても知りたいと思います。

チェーンの最後に1行追加します。filter inputチェーンの例を以下に示します。

table filter { ... chain input { type filter hook input priority 0; policy drop; ... # All my rules go here ... # Pick one that suits your needs best counter comment "total unfiltered input packets" log # simple detail goes into the log log flags all # extra details go into the log log flags all prefix "GOTCHA!: " # parseable keyword log flags all counter # redundant but example # drop; # this is redundant policy is drop already } ... }

mauricev · Answer

ルールは順守されているようです。ポリシーはドロップです。次に、必要な受け入れルールがあります。今単に持っている

log

最後に単独で行でトリックを行います。