Quy tắc Iptables LOG bên trong một không gian tên mạng

Tôi đang cố gắng thiết lập các quy tắc iptables cho một container docker. Tôi đang sử dụng nsenter để thực thi lệnh iptables bên trong không gian tên mạng của bộ chứa:

# log access to port 8080
PID=$(docker inspect --format "{{.State.Pid}}" $ID)
/home/ubuntu/nsenter -n -t $PID iptables -A OUTPUT -o eth0 -p tcp -m tcp --dport 8080 -j LOG

Cách tiếp cận này hoạt động hoàn hảo ngoại trừ các LOGquy tắc. Những người dường như không đăng nhập bất cứ nơi nào. Lưu ý rằng quy tắc tương tự được áp dụng cho hệ thống máy chủ hoạt động và ghi nhật ký /var/log/kern.log.

Tôi có thể tìm đầu ra của các quy tắc đăng nhập đó ở đâu? Đây có phải là một vấn đề / giới hạn của không gian tên mạng?

Như Donald đã đề cập, các quy tắc LOG của iptables bên trong các container bị chặn theo mặc định.

Trong hạt nhân <= 4.10, không thể điều chỉnh hành vi này mà không vá nhân. Như agrrd đã đề cập, một cách giải quyết là chạy ulogd trong mỗi container và sử dụng các quy tắc NFLOG (hoặc ULOG) của iptables thay vì quy tắc LOG.

Tuy nhiên, kể từ kernel 4.11, chạy echo 1 > /proc/sys/net/netfilter/nf_log_all_netnstrên máy chủ (bên ngoài vùng chứa) sẽ khiến các quy tắc LOG của iptables bên trong tất cả các container được ghi vào máy chủ. (Xem Cam kết hạt nhân này.)

Đầu ra của các mục tiêu LOG ​​iptables từ bên trong một không gian tên mạng bị chặn bởi thiết kế để ngăn các container khỏi DOS lưu trữ máy chủ của chúng bằng cách ghi đè lên bộ đệm nhật ký của nó.

cam kết giới thiệu sự thay đổi

dòng mã nguồn có liên quan trong kernel hiện tại

Tôi đã có thể đăng nhập các quy tắc iptables cho các container docker bằng cách cài đặt ulogd và thay thế "-j LOG" bằng "-j ULOG". Các gói phù hợp được ghi vào thư mục / var / log / ulog

Tôi đã thấy một ví dụ (không liên quan đến kernel) khi sử dụng -v /dev/log:/dev/log. Tôi tự hỏi nếu bạn cần phải làm một cái gì đó tương tự ..

Ngoài ra, tôi thấy rằng bạn đang sử dụng nsenter chứ không phải docker exec: bạn đang chạy phiên bản docker nào?