<div dir="ltr"><div>Hi Anatoly,</div><div><br></div><div>I appreciate the trust you bestowed to me by sending me the bundle.</div><div>From syslog-ng perspective your setup looks all sane, and I couldn't spot any problems.</div><div>Upon checking the debug logs, I saw, that syslog-ng did not report either of the incoming UDP packages as "Incoming messages" even though they were recorded in the pcap file.</div><div>Given that SELinux is disabled, I and your firewall rules are all ALLOW, there are very few things that could prevent the reception of the messages.</div><div>That led me to suspect a networking problem: a routing issue.</div><div><br></div><div>You seem to have two interfaces active: A and B.</div><div>A has a single IP configured, and B has two.</div><div>Only two locally connected networks are present in the routing table, and a default route, that points to a host located in the subnet that interface A is connected to.</div><div>The problem is that the packets arrive to interface B, and the IP address they arrive from should be in the direction of interface A, at least from routing perspective.</div><div>Due to this the kernel will silently discard these packets.</div><div>In order to fix this I would recommend you to review your routing table, or reconfigure your setup so that these packets arrive to interface A's configured IP address.</div><div><br></div><div>If you want to verify this theory of mine, I can point you to the following article on how to make the kernel log these unroutable packets:</div><div><br></div><div><a href="https://www.cyberciti.biz/faq/linux-log-suspicious-martian-packets-un-routable-source-addresses/">https://www.cyberciti.biz/faq/linux-log-suspicious-martian-packets-un-routable-source-addresses/</a></div><div><br></div><div>Best Regards,</div><div>János<br></div><div><br></div><div><div><div dir="ltr" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr">--</div><div dir="ltr">Janos SZIGETVARI<br><span>RHCE, License no. <a href="https://www.redhat.com/rhtapps/verify/?certId=150-053-692" target="_blank">150-053-692</a></span><br></div><div dir="ltr"><span><br></span></div><div dir="ltr"><span>LinkedIn: <a href="http://linkedin.com/in/janosszigetvari" target="_blank">linkedin.com/in/janosszigetvari</a></span><br><br>__@__˚V˚<br>Make the switch to open (source) applications, protocols, formats now:<br>- windows -> Linux, iexplore -> Firefox, msoffice -> LibreOffice<br>- msn -> jabber protocol (Pidgin, Google Talk)<br>- mp3 -> ogg, wmv -> ogg, jpg -> png, doc/xls/ppt -> odt/ods/odp</div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Anatoly Pugachev <<a href="mailto:matorola@gmail.com" target="_blank">matorola@gmail.com</a>> ezt írta (időpont: 2020. febr. 25., K, 10:58):<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Wed, Feb 19, 2020 at 6:46 PM SZIGETVÁRI János <<a href="mailto:jszigetvari@gmail.com" target="_blank">jszigetvari@gmail.com</a>> wrote:<br>
><br>
> Hi Anatoly,<br>
><br>
> Thank you for the debug log!<br>
> It clearly shows that syslog-ng does not get the remote log at all.<br>
> Could you please run the syslog-ng-debun script with the following parameters, and send me the resulting tgz file?<br>
><br>
> # syslog-ng-debun -r -P "port 3514" -D "-Fedv" -t 90<br>
><br>
> This will run syslog-ng in debug mode for 90 seconds, and will also create a network traffic dump of the syslog traffic. Please try sending the test logs from the other VM while it is running.<br>
<br>
<br>
Janos,<br>
<br>
sorry for the delay, please see attached files.<br>
<br>
Thanks.<br>
<br>
tcpdump command was:<br>
<br>
localhost# tcpdump -n -w udp-3514.pcap -i ens224 udp and port 3514<br>
<br>
this captured 2 packets coming from 2 different machines, which was run :<br>
<br>
vm1# logger -d -i -n 172.16.3.50 -P 3514 "test from vm1"<br>
vm2# logger -d -i -n 172.16.3.50 -P 3514 "test from vm2"<br>
</blockquote></div>