iptablesのログ記述について

http://www.atmarkit.co.jp/flinux/rensai/iptables …
を参考に勉強しなおしているのですが

iptables -N LOGGING
iptables -A LOGGING -j LOG --log-level warning --log-prefix "DROP:" -m limit
iptables -A LOGGING -j DROP
iptables -A INPUT -j LOGGING
iptables -A OUTPUT -j LOGGING

の内容でわからないことがあります。
一番下の3行

一．iptables -A INPUT -j LOGGING
二．iptables -A OUTPUT -j LOGGING
三．iptables -A LOGGING -j DROP


一．無効パケットの破棄（DROP）を指定し、ログ出力の後に破棄されるようにします。
二．INPUTおよびOUTPUTチェインに対し、このLOGGINGが行われるように設定します。

この二つの意味の違いがよくわからないのです。
一は「パケット廃棄→ログ出力」の流れは分かるのですが、
二は、「INPUT処理、OUTPUT処理」→「ログ出力？」
同じ処理ではないのでしょうか？

ということですと、
「一と二で同じ処理をするのに、
LOGGINGのチェインの位置が変わっている」のはなぜなのでしょうか？
とわからなくなっています。

ご教授お願いします。

No.2 ベストアンサー 回答者： notnot 回答日時： 2013/01/14 12:15

＞INPUTチェインではログを取ることで廃棄されるということになるのでしょうか？

この定義だとそうですね。
入力と出力の両方を全部ログを書いた上で通さない。

この回答へのお礼

補足ありがとうございます。

この内容につきましては理解することができました。
ありがとうございました。

お礼日時：2013/01/14 14:38

No.1 回答者： notnot 回答日時： 2013/01/13 23:20

＞一は「パケット廃棄→ログ出力」の流れは分かるのですが、

ここが、まるっきり間違ってます。

＞iptables -N LOGGING

LOGGING という名前の定義。

＞iptables -A LOGGING -j LOG --log-level warning --log-prefix "DROP:" -m limit

「LOGGINGしろ」と言われたら、これこれの条件でログに書く

＞iptables -A LOGGING -j DROP

「LOGGINGしろ」と言われたら、ドロップする

＞iptables -A INPUT -j LOGGING

入力データに対して「LOGGINGしろ」と言う

＞iptables -A OUTPUT -j LOGGING

出力データに対して「LOGGINGしろ」と言う

この回答への補足

情報ありがとうございます。

＞iptables -A INPUT -j LOGGING
で　INPUTの動作が、LOGGINGで動き、


＞iptables -A LOGGING -j DROP
で、LOGGINGチェインは、廃棄なので

結局、
INPUTチェインではログを取ることで廃棄されるということになるのでしょうか？

補足日時：2013/01/14 11:31