log nftables non présent dans journalctl

Bonjour,
OS:manjaro 19.02 xfce
kernel:

uname -a
Linux pcmanjaro 5.4.28-1-MANJARO #1 SMP PREEMPT Wed Mar 25 12:45:29 UTC 2020 x86_64 GNU/Linux

je n'arrive pas a voir mes log nftables via un sudo journalctl -k | grep ".*ip4tables.*"
ip4tables étant le prefix défini dans mes règles nftables

la raigle semble bien prise en compte preuve en est l'incrémentation du conteur a chaque
sudo nft list ruleset

counter packets 7 bytes 420 log prefix "ip4tables"

re-tour de sudo nft list ruleset

table ip filter {
	set ipv4filter {
		type ipv4_addr
		flags interval
	}

	set ipv4filterforall {
		type ipv4_addr
		flags interval
	}

	chain input {
		type filter hook input priority filter; policy drop;
		iif "lo" accept
		udp sport 5353 accept
		udp dport 5355 accept
		tcp dport 5355 accept
		ct state established,related accept
		udp sport 67 udp dport 68 accept
		icmp type { echo-reply, destination-unreachable, source-quench, redirect, echo-request, router-advertisement, router-solicitation, time-exceeded, parameter-problem, timestamp-request, timestamp-reply, info-request, info-reply, address-mask-request, address-mask-reply } accept
		ip daddr 192.168.0.0/24 accept
		counter packets 16 bytes 1494 log prefix "ip4tables"
	}

	chain forward {
		type filter hook forward priority filter; policy drop;
		counter packets 0 bytes 0 log prefix "ip4tables"
	}

	chain output {
		type filter hook output priority filter; policy drop;
		oif "lo" accept
		ip daddr @ipv4filter meta skuid 65534 reject
		ip daddr @ipv4filter meta skuid 1000 reject
		udp dport 5353 accept
		udp dport 5355 accept
		tcp dport 5355 accept
		udp sport 68 udp dport 67 accept
		udp dport 53 accept
		tcp dport 53 accept
		ip daddr 127.0.0.10 udp dport 54 accept
		ip daddr 127.0.0.10 tcp dport 54 accept
		tcp dport 80 accept
		tcp dport 443 accept
		icmp type { echo-reply, destination-unreachable, source-quench, redirect, echo-request, router-advertisement, router-solicitation, time-exceeded, parameter-problem, timestamp-request, timestamp-reply, info-request, info-reply, address-mask-request, address-mask-reply } accept
		udp dport 123 accept
		tcp dport 21 counter packets 0 bytes 0 accept
		ct state established,related counter packets 0 bytes 0 accept
		ip daddr 192.168.0.0/24 accept
		tcp dport { 143, 465, 587, 993, 995 } accept
		counter packets 7 bytes 420 log prefix "ip4tables"
	}
}
table ip nat {
	chain prerouting {
		type nat hook prerouting priority dstnat; policy accept;
	}

	chain input {
		type nat hook input priority 100; policy accept;
	}

	chain output {
		type nat hook output priority -100; policy accept;
		udp dport 53 meta skuid 65534 dnat to 127.0.0.10:54
		tcp dport 53 meta skuid 65534 dnat to 127.0.0.10:54
		udp dport 53 meta skuid 1000 dnat to 127.0.0.10:54
		tcp dport 53 meta skuid 1000 dnat to 127.0.0.10:54
	}

	chain postrouting {
		type nat hook postrouting priority srcnat; policy accept;
	}
}
table ip6 filter {
	set ipv6filter {
		type ipv6_addr
		flags interval
	}

	set ipv6filterforall {
		type ipv6_addr
		flags interval
	}

	chain input {
		type filter hook input priority filter; policy drop;
		iif "lo" accept
		udp sport 5353 accept
		udp dport 5353 accept
		tcp dport 5353 accept
		ct state established,related accept
		udp sport 67 udp dport 68 accept
		icmpv6 type { destination-unreachable, packet-too-big, time-exceeded, parameter-problem, echo-request, echo-reply, mld-listener-query, mld-listener-report, mld-listener-done, nd-router-solicit, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert, nd-redirect, router-renumbering } accept
		meta l4proto ipv6-icmp ip6 daddr fe80::/10 counter packets 0 bytes 0 accept
		meta l4proto ipv6-icmp ip6 saddr fe80::/10 counter packets 0 bytes 0 accept
		counter packets 0 bytes 0 log prefix "ip6tables"
	}

	chain forward {
		type filter hook forward priority filter; policy drop;
		counter packets 0 bytes 0 log prefix "ip6tables"
	}

	chain output {
		type filter hook output priority filter; policy drop;
		oif "lo" accept
		ip6 daddr @ipv6filter meta skuid 65534 reject
		ip6 daddr @ipv6filter meta skuid 1000 reject
		udp dport 5353 accept
		udp dport 5353 accept
		tcp dport 5353 accept
		ip6 daddr ff02::2 accept
		ip6 daddr ff02::16 accept
		udp sport 68 udp dport 67 accept
		udp dport 53 accept
		tcp dport 53 accept
		ip6 daddr fd00::127:10 udp dport 54 accept
		ip6 daddr fd00::127:10 tcp dport 54 accept
		tcp dport 80 accept
		tcp dport 443 accept
		icmpv6 type { destination-unreachable, packet-too-big, time-exceeded, parameter-problem, echo-request, echo-reply, mld-listener-query, mld-listener-report, mld-listener-done, nd-router-solicit, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert, nd-redirect, router-renumbering } accept
		udp dport 123 accept
		tcp dport 21 counter packets 0 bytes 0 accept
		ct state established,related counter packets 0 bytes 0 accept
		ip6 daddr fe80::/10 tcp dport 8022 accept
		tcp dport { 143, 465, 587, 993, 995 } accept
		counter packets 0 bytes 0 log prefix "ip6tables"
	}
}
table ip6 nat {
	chain prerouting {
		type nat hook prerouting priority dstnat; policy accept;
	}

	chain input {
		type nat hook input priority 100; policy accept;
	}

	chain output {
		type nat hook output priority -100; policy accept;
		udp dport 53 meta skuid 65534 dnat to [fd00::127:10]:54
		tcp dport 53 meta skuid 65534 dnat to [fd00::127:10]:54
		udp dport 53 meta skuid 1000 dnat to [fd00::127:10]:54
		tcp dport 53 meta skuid 1000 dnat to [fd00::127:10]:54
	}

	chain postrouting {
		type nat hook postrouting priority srcnat; policy accept;
	}
}

le module nft_log et bien charger

lsmod | grep nft
nft_counter            16384  12
nft_reject_ipv6        16384  2
nf_reject_ipv6         20480  1 nft_reject_ipv6
nft_reject_ipv4        16384  2
nf_reject_ipv4         16384  1 nft_reject_ipv4
nft_reject             16384  2 nft_reject_ipv6,nft_reject_ipv4
nft_log                16384  6
nft_nat                16384  8
nft_ct                 20480  4
nft_chain_nat          16384  8
nf_nat                 49152  2 nft_nat,nft_chain_nat
nf_conntrack          163840  4 nf_nat,nft_ct,nft_nat,nf_conntrack_ftp
nf_tables             172032  345 nft_reject_ipv6,nft_reject_ipv4,nft_ct,nft_log,nft_nat,nft_counter,nft_chain_nat,nf_tables_set,nft_reject

bref, je comprend pas trops pourquoi j'au aucune remonter dans journalctl,
j'ait tenter journalctl -all au cas ou mais pas plus de résultat, ( pour infos les même raigles sur une debian 10 fonctionne très bien)
auraige menquer quelque chose dans la conf journalctl ou pour que les log nftable remonte ??

bon j'ai un peut du nouveau,
en fait il semble que les log, ne remonte qu'après un reboot du service systemd-journald,
en effet j'ai ouvert 3 terminal

un ou je lance ma comande de lecture du flux de journalctl:
TERMINAL1 sudo journalctl -k -f | grep ip4tables

un autre ou je lance un telnet sur un port non auto-riser pour générer des log
TERMINAL2 telnet 192.168.1.3 9999

a ce stade rien n'apparé dans TERMINAL1 alors que cela devrais ètre le cas.

mais si j'ouvre un TERMINAL3 pour relancer le service systemd-journald

TERMINAL3 sudo sytemctl restart systemd-journald

au moment ou je redémarre la comme par magie j'ai mes remonter nftable dans le TERMINAL1

mais celle si ne ce maite pas a jour. bref pourquoi faut t'il relancer le service de journalisation pour que les log ce face, j'ai noter le même problème sur ubuntu20.04 en noyaux5.x aussi mais pas sur debian10 en noyaux 4.19, bref c'est pas un problème spécifique a manjaro, mais peut ètre a la version noyaux et/ou systemd.

c'est pas résolus mais sa avance un peut.

sudo journalctl -k -f | grep ip4tables | grep 192.168.1.3 












avril 25 13:39:31 sysadmin-Standard-PC-i440FX-PIIX-1996 kernel: ip4tablesIN= OUT=ens3 SRC=192.168.0.119 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=9688 DF PROTO=TCP SPT=33392 DPT=9999 WINDOW=64240 RES=0x00 SYN URGP=0 
avril 25 13:39:31 sysadmin-Standard-PC-i440FX-PIIX-1996 kernel: ip4tablesIN= OUT=ens3 SRC=192.168.0.119 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=9689 DF PROTO=TCP SPT=33392 DPT=9999 WINDOW=64240 RES=0x00 SYN URGP=0 
avril 25 13:39:31 sysadmin-Standard-PC-i440FX-PIIX-1996 kernel: ip4tablesIN= OUT=ens3 SRC=192.168.0.119 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=9690 DF PROTO=TCP SPT=33392 DPT=9999 WINDOW=64240 RES=0x00 SYN URGP=0 
avril 25 13:39:31 sysadmin-Standard-PC-i440FX-PIIX-1996 kernel: ip4tablesIN= OUT=ens3 SRC=192.168.0.119 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=9691 DF PROTO=TCP SPT=33392 DPT=9999 WINDOW=64240 RES=0x00 SYN URGP=0 
avril 25 13:39:31 sysadmin-Standard-PC-i440FX-PIIX-1996 kernel: ip4tablesIN= OUT=ens3 SRC=192.168.0.119 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=9692 DF PROTO=TCP SPT=33392 DPT=9999 WINDOW=64240 RES=0x00 SYN URGP=0 
avril 25 13:39:31 sysadmin-Standard-PC-i440FX-PIIX-1996 kernel: ip4tablesIN= OUT=ens3 SRC=192.168.0.119 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=9693 DF PROTO=TCP SPT=33392 DPT=9999 WINDOW=64240 RES=0x00 SYN URGP=0 
avril 25 13:39:31 sysadmin-Standard-PC-i440FX-PIIX-1996 kernel: ip4tablesIN= OUT=ens3 SRC=192.168.0.119 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=9694 DF PROTO=TCP SPT=33392 DPT=9999 WINDOW=64240 RES=0x00 SYN URGP=0 
avril 25 13:39:31 sysadmin-Standard-PC-i440FX-PIIX-1996 kernel: ip4tablesIN= OUT=ens3 SRC=192.168.0.119 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=2277 DF PROTO=TCP SPT=33398 DPT=9999 WINDOW=64240 RES=0x00 SYN URGP=0 
avril 25 13:39:31 sysadmin-Standard-PC-i440FX-PIIX-1996 kernel: ip4tablesIN= OUT=ens3 SRC=192.168.0.119 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=2278 DF PROTO=TCP SPT=33398 DPT=9999 WINDOW=64240 RES=0x00 SYN URGP=0 
avril 25 13:39:31 sysadmin-Standard-PC-i440FX-PIIX-1996 kernel: ip4tablesIN= OUT=ens3 SRC=192.168.0.119 DST=192.168.1.3 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=2279 DF PROTO=TCP SPT=33398 DPT=9999 WINDOW=64240 RES=0x00 SYN URGP=0

Salut!

Content de voir que tu es revenu donner des nouvelles sur les avancées que tu as pu obtenir, essaye au cas ou de poster ta demande dans la section technical-issues-and-assistance ou bien support-for-official-editions, la langue de Shakespeare devrait te permettre d'atteindre ton but, le nombre de personnes potentiellement susceptibles de te répondre se verra alors démultiplier... for sure

Forum kindly sponsored by