我有几个应用程序具有潜在的高风险和高吞吐量(如 bind、ntpd 等)。我计划为操作系统任务、更新、SNMP、自动化等设置一个“管理域”,以及一个仅包含我提供服务的守护进程的“服务域”。
我已经成功地为它们创建了网络命名空间,分配了专用 IP 地址、离散路由等。我希望能够使用 IPtables 记录影响命名空间内守护进程的某些行为(请求对 dns 进行递归查找的唯一设备等),但我无法让 IPtables 中的“LOG”目标工作。我尝试在 ns 内运行 syslog 守护进程,但仍然不起作用。它可能想要写入全局文件系统但未获得许可。我对命名空间还不太熟悉,所以任何想法都值得赞赏。