Iptables & logging

Так лучше будет?

iptables -A INPUT -i ! eth0 -p ! udp -m udp --dport ! 138 -j LOG --log-prefix "all_input" 

Не прокатило - "iptables: Invalid argument"
Если делать
iptables -A INPUT -i ! eth0 -p ! udp --dport ! 138 -j LOG --log-prefix "all_input"
- это правило принимает, но на сканирование из локалки реакция пропадает совсем. Странно.

Если указанное правило (с -j LOG) последнее, и policy DROP, стало быть "udp пакеты, приходящие из локалки на порт 138" будут убиты. А раз так, то их можно убивать и до -j LOG, т.е. предпоследним правилом:
iptables -A INPUT -i eth0 -p udp --dport 138 -j DROP
последнее оставить без изменений:
iptables -A INPUT -j LOG --log-prefix "all_input"

Тьфу, описался

iptables -A INPUT -i ! eth0 -p ! udp --dport ! 138 -j LOG --log-prefix "all_input" - не работает

iptables -A INPUT -i ! eth0 -p ! udp -j LOG --log-prefix "all_input" - работает, но перестает детектировать сканирование со стороны локалки

Как пофиксить?

spirit, BIG THANKS!
все работает как надо

вообще как показывает практика, очень полезно заводить цепочку trash c -j DROP и пихать в нее весь мусор (всякие нетбиосовские броадкасты и прочую ересь) . цепочку вызывать перед цепочкой логгинга.

>очень полезно заводить цепочку trash c -j DROP и пихать в нее весь мусор
А насколько это реально полезно? Если в trash только DROP? +1 правило на дропаемый пакет. А если вместо -j trash просто -j DROP писать?