Sven Rudolph Sven_Rudolph@drewag.de (Fr 19 Sep 2014 14:10:27 CEST):
Hallo,
ich finde was nicht, von dem ich glaube, daß es einfach sein müßte...
Wenn ich mit iptables Pakete droppe, wird das nicht ins syslog geschrieben; aus meiner Sicht ist das auch so erwünscht :
iptables -A inchain --protocol tcp --source ... --in-interface lo \ --dest 127.0.0.1 --dport ... -j DROP
Wenn ich DROP durch REJECT ersetze, macht es auch, was es soll (es sagt der Gegenseite zeitnah, daß ich die Verbindung nicht will). Soweit OK, aber: Zusätzlich wird das alles ins syslog geschrieben. Das ist für mich lästig. Ich hab die DROP-Regel ja schließlich gebaut, damit ich nicht von dem Mist belästigt werde.
Weder REJECT noch DROP bewirken automatisch einen Eintrag im Syslog. Erst ein LOG macht das.
Also: Wo / wie kann ich bewirken, daß auch bei diesem Reject nichts ins syslog geschrieben wird.
Ich denke also immer noch, das REJECT hat mit dem Logging nichts zu tun. Wie sieht der Syslog-Eintrag aus?
Findest Du den auch im dmesg-Output? Das würde dann indizieren, dass es tatsächlich vom Kernel kommt und man müsste in den Firewallregeln suchen.
Wenn es bei dmesg nicht erscheint, ist vielleicht irgend ein magisches Stück Software am Start, das die Rejects protokolliert. Wie rejectest Du? Vermutlich ohne besondere Optionen, also mit ICMP?