网络名称空间中的iptables LOG规则

我正在尝试为Docker容器设置iptables规则。我正在使用nsenter在容器的网络名称空间内执行iptables命令：

# log access to port 8080
PID=$(docker inspect --format "{{.State.Pid}}" $ID)
/home/ubuntu/nsenter -n -t $PID iptables -A OUTPUT -o eth0 -p tcp -m tcp --dport 8080 -j LOG

除LOG规则外，此方法非常有效。那些似乎不在任何地方记录。请注意，适用于主机系统的相同规则适用并登录到/var/log/kern.log。

在哪里可以找到这些日志规则的输出？这是网络名称空间的已知问题/限制吗？

正如唐纳德（Donald）所述，默认情况下，容器内的iptables LOG规则被禁止。

在<= 4.10的内核中，如果不修补内核，则无法调整此行为。正如agrrd所提到的，一种解决方法是在每个容器中运行ulogd并使用iptables NFLOG（或ULOG）规则而不是LOG规则。

但是，从内核4.11开始，echo 1 > /proc/sys/net/netfilter/nf_log_all_netns在主机上（容器外部）运行将导致所有容器内的iptables LOG规则登录到主机。 （请参阅此内核提交。）

通过设计抑制从网络名称空间内部输出iptables LOG目标，以防止容器通过溢出其日志缓冲区来使其主机DOS。

承诺介绍变更

当前内核中的相关源代码行

通过安装ulogd并将“ -j LOG”替换为“ -j ULOG”，我能够记录docker容器的iptables规则。匹配的数据包将记录到/ var / log / ulog目录

我已经看到了使用的示例（与内核无关）-v /dev/log:/dev/log。我想知道您是否需要做类似的事情。

另外，我看到您正在使用nsenter而不是docker exec：您正在运行哪个版本的docker ？