iptables 日志拦截

IPtable是Linux防火墙，有个非常重要的图和大家分享一下：

上面的图详细介绍了IPtables数据流向，非常直观。
当规则很多的时候很难确定哪些链被使用了，iptables支持log动作，下面是自己使用例子

iptables -t raw -I OUTPUT -d 10.254.51.153 -j LOG --log-level 7 --log-prefix "raw out: "iptables -t mangle -I OUTPUT -d 10.254.51.153 -j LOG --log-level 7 --log-prefix "mangle out: "iptables -t nat -I OUTPUT -d 10.254.51.153 -j LOG --log-level 7 --log-prefix "nat out: "iptables -t filter -I OUTPUT -d 10.254.51.153 -j LOG --log-level 7 --log-prefix "filter out: "iptables -t mangle -I POSTROUTING -d 10.254.51.153 -j LOG --log-level 7 --log-prefix "mangle post: "iptables -t nat -I POSTROUTING -d 10.254.51.153 -j LOG --log-level 7 --log-prefix "nat post: "iptables -t raw -I OUTPUT -d 192.168.67.4 -j LOG --log-level 7 --log-prefix "raw out: "iptables -t mangle -I OUTPUT -d 192.168.67.4 -j LOG --log-level 7 --log-prefix "mangle out: "iptables -t nat -I OUTPUT -d 192.168.67.4 -j LOG --log-level 7 --log-prefix "nat out: "iptables -t filter -I OUTPUT -d 192.168.67.4 -j LOG --log-level 7 --log-prefix "filter out: "iptables -t mangle -I POSTROUTING -d 192.168.67.4 -j LOG --log-level 7 --log-prefix "mangle post: "iptables -t nat -I POSTROUTING -d 192.168.67.4 -j LOG --log-level 7 --log-prefix "nat post: "iptables -t raw -I OUTPUT -d 10.39.0.7 -j LOG --log-level 7 --log-prefix "raw out: "iptables -t mangle -I OUTPUT -d 10.39.0.7 -j LOG --log-level 7 --log-prefix "mangle out: "iptables -t nat -I OUTPUT -d 10.39.0.7 -j LOG --log-level 7 --log-prefix "nat out: "iptables -t filter -I OUTPUT -d 10.39.0.7 -j LOG --log-level 7 --log-prefix "filter out: "iptables -t mangle -I POSTROUTING -d 10.39.0.7 -j LOG --log-level 7 --log-prefix "mangle post: "iptables -t nat -I POSTROUTING -d 10.39.0.7 -j LOG --log-level 7 --log-prefix "nat post: "

当然这些地址要根据自己的场景修改，其中还有个地方需要主要就是要修改一下配置文件/etc/rsyslog.conf 才能生效
kern.=debug /var/log/firewall

还有个简单的图也便于理解：