-A
acrescenta regras no final da corrente iptables
.
Se você quiser registrar todos os pacotes, antes de mais nada, tente usar -I
:
-I INPUT -j LOG --log-tcp-options --log-tcp-sequence --log-prefix "[MY_PREFIX] "
-I FORWARD -j LOG --log-tcp-options --log-tcp-sequence --log-prefix "[MY_PREFIX] "
Dito isso, a melhor maneira de resolver esses problemas é criar novas cadeias e modificar suas regras para usar essas cadeias em vez das cadeias padrão.
Como exemplo (simples), você pode ter dois novos alvos:
iptables -N LOG_DROP
iptables -N LOG_ACCEPT
e crie regras "padrão" como
iptables -A LOG_DROP -j LOG --log-tcp-options --log-tcp-sequence --log-prefix "[MY_PREFIX] "
iptables -A LOG_DROP -j DROP
iptables -A LOG_ACCEPT -j LOG --log-tcp-options --log-tcp-sequence --log-prefix "[MY_PREFIX] "
iptables -A LOG_ACCEPT -j ACCEPT
Em seguida, nas suas regras, você pode "enviar" para LOG_DROP
em vez de DROP
e LOG_ACCEPT
em vez de ACCEPT
:
iptables -A INPUT -p tcp --dport 22 -j LOG_DROP # Log and drop input packets to port 22