ネットワーク名前空間内のiptables LOGルール

Dockerコンテナーのiptablesルールをセットアップしようとしています。nsenterを使用して、コンテナーのネットワーク名前空間内でiptablesコマンドを実行しています。

# log access to port 8080
PID=$(docker inspect --format "{{.State.Pid}}" $ID)
/home/ubuntu/nsenter -n -t $PID iptables -A OUTPUT -o eth0 -p tcp -m tcp --dport 8080 -j LOG

このアプローチは、LOGルールを除いて完全に機能します。それらはどこにも記録しないようです。ホストシステムに適用される同じルールが機能し、にログを記録することに注意してください/var/log/kern.log。

これらのログルールの出力はどこにありますか？これはネットワーク名前空間の既知の問題/制限ですか？

Donaldが述べたように、コンテナー内のiptables LOGルールはデフォルトで抑制されます。

カーネル<= 4.10では、カーネルにパッチを適用しないとこの動作を調整できませんでした。agrrdが述べたように、回避策は各コンテナーでulogdを実行し、LOGルールの代わりにiptables NFLOG（またはULOG）ルールを使用することです。

ただし、カーネル4.11以降echo 1 > /proc/sys/net/netfilter/nf_log_all_netns、ホスト（コンテナー外）で実行すると、すべてのコンテナー内のiptables LOGルールがホストにログを記録します。 （このカーネルコミットを参照してください。）

ネットワークネームスペース内からのiptables LOGターゲットの出力は、コンテナーがログバッファーをオーバーランしてホストをDOSで実行できないようにするための設計により抑制されています。

変更の導入をコミットする

現在のカーネルの関連するソースコード行

ulogdをインストールして「-j LOG」を「-j ULOG」に置き換えることで、Dockerコンテナーのiptablesルールをログに記録できました。一致したパケットは/ var / log / ulogディレクトリに記録されます

私は（カーネルに関連しない）の使用例を見ました-v /dev/log:/dev/log。同様のことをする必要があるのか​​しら。

また、あなたはnsenterではなくnsenterを使用しているようですdocker exec：どのバージョンのdocker を実行していますか？