如何在Debian Squeeze上启用IPtables TRACE目标（6）

我正在尝试使用IPtables的TRACE目标，但似乎无法记录任何跟踪信息。我想使用这里描述的内容： iptables的调试器。

来自TRACE的iptables男子：

   This target marks packes so that the kernel will log every  rule  which
   match  the  packets  as  those traverse the tables, chains, rules. (The
   ipt_LOG or ip6t_LOG module is required for the  logging.)  The  packets
   are   logged   with   the   string   prefix:  "TRACE:  tablename:chain-
   name:type:rulenum " where type can be "rule" for plain  rule,  "return"
   for  implicit  rule at the end of a user defined chain and "policy" for
   the policy of the built in chains.
   It can only be used in the raw table.

我使用以下规则：iptables -A PREROUTING -t raw -p tcp -j TRACE/ var / log / syslog或/var/log/kern.log中什么都没有附加！

还有其他步骤吗？我看错地方了吗？

编辑

尽管找不到日志条目，但由于数据包计数器增加了，TRACE目标似乎已正确设置：

# iptables -L -v -t raw
Chain PREROUTING (policy ACCEPT 193 packets, 63701 bytes)
 pkts bytes target     prot opt in     out     source               destination
  193 63701 TRACE      tcp  --  any    any     anywhere             anywhere

Chain OUTPUT (policy ACCEPT 178 packets, 65277 bytes)
 pkts bytes target     prot opt in     out     source               destination

编辑2

该规则iptables -A PREROUTING -t raw -p tcp -j LOG 不打印包信息到/ var / log / syslog的...为什么不跟踪工作？

跑：

modprobe ipt_LOG

这为我解决了。

似乎（对于我而言）对新内核而言（对于IPv4）是必需的：

modprobe nf_log_ipv4
sysctl net.netfilter.nf_log.2=nf_log_ipv4

学分：

• https://www.centos.org/forums/viewtopic.php?f=47&t=54411
• 当他们给我重要提示时，对其他答案给予支持

我发现我需要按照以下顺序执行上述两个答案：

sudo modprobe ipt_LOG
sudo sysctl net.netfilter.nf_log.2=ipt_LOG

这是我在途中发现的几件事。

您可以使用以下内容获取有效记录器的列表（以及当前选择的记录器）：

cat /proc/net/netfilter/nf_log

此处的数字代表协议家族编号，如中所定义/usr/include/bits/socket.h。2是AF_INET（即IPv4），而10是AF_INET6（IPv6）。

这对我有用 sudo sysctl net.netfilter.nf_log.2=ipt_LOG