Làm thế nào để chụp các gói tin DROP của PedOP trên OUTPUT của iptables?


1

có một khá phức tạp OUTPUT xử lý trên iptables, làm thế nào để đi bắt / hiển thị (ít nhất tương tự như cách tcpdump bắt chúng) các gói tin được để lại qua một giao diện, nhưng DROP thay vào đó ở nhiều nơi iptables OUTPUT / FORWARD xử lý chuỗi?

(vì các gói này không xuất hiện trên giao diện vật lý, có lẽ người ta không thể sử dụng tcpdump, đúng? )

. Mặc dù vậy, vẫn còn rất nhiều công việc và tôi vẫn chưa rõ làm thế nào để CHỈ các gói như vậy đi giao diện giả này - "tuyến đường" sẽ khiến TẤT CẢ các gói cho các IP đó chuyển sang giả, nhưng tôi chỉ cần đến DROP gói tin đi đến đó)

cập nhật : xấu hổ Q gần như giống nhau đã được hỏi tại một diễn đàn khác và được trả lời tại https://unix.stackexchange.com/questions/174107/record-contents-of-packets-dropping-in-iptables / xấu hổ ; cải tiến duy nhất tôi có thể yêu cầu là không phải đặt quy tắc đăng nhập NFLOG trước / thay vì mọi thứ có thể DROP quy tắc. Có ai nhận không?

Câu trả lời:


0

Nói chung, đó là một ý tưởng tốt để ghi nhật ký mọi gói bị rơi, vì vậy bạn có thể gỡ lỗi ngay cả các sự cố thoáng qua một cách dễ dàng.

Tôi thường tạo một 'mục tiêu' mới kết hợp cả hai:

iptables -N drop iptables -j NFLOG iptables -j DROP

Sau đó sử dụng -j drop như một sự thay thế cho DROP.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.