Hallo Sven,
On Fri, Sep 19, 2014 at 14:10:27 +0200, Sven Rudolph wrote:
Wenn ich mit iptables Pakete droppe, wird das nicht ins syslog geschrieben; aus meiner Sicht ist das auch so erwünscht :
iptables -A inchain --protocol tcp --source ... --in-interface lo \ --dest 127.0.0.1 --dport ... -j DROP
Wenn ich DROP durch REJECT ersetze, macht es auch, was es soll (es sagt der Gegenseite zeitnah, daß ich die Verbindung nicht will). Soweit OK, aber: Zusätzlich wird das alles ins syslog geschrieben.
Das REJECT-Target schreibt kein syslog. Es verwirft das matchende Paket und sendet per Default ein ICMP type 3 code 3 (port unreachable) an die Quelladresse des verworfenen Pakets. Vielleicht ist im sonstigen Regelwerk eine LOG-Regel, die jetzt genau diesen ausgehenden ICMP-Traffic loggt.
Das REJECT-Verhalten laesst sich mit --reject-with ... aendern, zum Beispiel bei TCP-Traffic auf tcp-reset.
Gruss, Chris