Làm cách nào để loại trừ lưu lượng LAN với iptraf-ng?


8

Tôi muốn sử dụng iptraf-ngđể xem lượng máy của tôi đang gửi / nhận từ Internet, nhưng tôi muốn loại trừ lưu lượng truy cập trên mạng LAN của mình vì tôi chỉ quan tâm đến dữ liệu ngoài trang web.

Tôi đã tạo một bộ lọc như sau, nhưng khi tôi kích hoạt nó, iptraf-ngkhông hiển thị lưu lượng nào cả!

  • Nguồn Địa chỉ IP: 192.168.0.0
  • Nguồn mặt nạ ký tự đại diện: 255.255.255.255
  • Địa chỉ IP đích: 192.168.0.0
  • Mặt nạ ký tự đại diện đích: 255.255.255.255
  • Giao thức: All IP, TCP, UDP, ICMP(giá trị thực tế thiết lập hoặc unset làm có sự khác biệt)
  • Bao gồm / loại trừ: E(nếu tôi thay đổi thành Ikhông có sự khác biệt)
  • Kết hợp ngược lại: N(nếu tôi thay đổi thành Ykhông có sự khác biệt)

Điều này khiến tôi nghĩ rằng các bộ lọc bị hỏng hoàn toàn hoặc tôi thực sự hiểu sai về cách chúng hoạt động.

Làm cách nào để tạo iptraf-ngbộ lọc loại trừ tất cả lưu lượng trong đó cả IP nguồn và IP đích nằm trong 192.168.0.0/24?


1
Nếu bạn không đặc biệt sử dụng iptraf-ng, bạn có thể xem xét iftop. Công cụ tuyệt vời. Nếu đó là một máy RHEL / Fedora, thì nó có sẵn trong kho epel. Sử dụng iftoplệnh sau a yum install iftopvà bạn sẽ chỉ thích nó :).
Citylight

@Sree: Tôi đang chạy Arch và đã iftopcài đặt, nhưng tôi cũng không thể xem cách lọc lưu lượng LAN. Toàn bộ màn hình bị tắc với tất cả lưu lượng LAN băng thông cao và sau đó tôi không thể thấy lưu lượng truy cập nhỏ hơn nhiều khi rời khỏi mạng. Làm thế nào để bạn lọc ra lưu lượng LAN với iftop?
Malvineous

@Malvineous bộ lọc cung cấp trên dòng lệnh. Ví dụ: iftop -f "not dst port 22 and not src port 22"để loại trừ tất cả lưu lượng SSH. Tìm kiếm "cú pháp pcap" cho thông số kỹ thuật của cú pháp lọc.
AronVanAmmers

Câu trả lời:


12

Hai điều cần lưu ý:

  • "Kết hợp ngược lại" không có nghĩa là "đảo ngược ý nghĩa của bộ lọc". Điều đó có nghĩa là "Kết hợp cả lưu lượng đến và đi cho máy chủ / cổng trong bộ lọc".
  • Khi bộ lọc được đặt đúng chỗ, mọi gói không khớp với bộ lọc sẽ bị loại bỏ. Vì vậy, nếu bạn sử dụng bộ lọc loại trừ, điều quan trọng là phải hoàn thành quy tắc "chấp nhận tất cả", nếu không, không có gì phù hợp!

Với ý nghĩ đó, cách để xác định bộ lọc để loại trừ LAN là:

  • Tạo một bộ lọc, đặt tên cho nó. Khi bạn vào màn hình để thêm bộ lọc, hãy thêm vào như sau:

    • Địa chỉ IP: 192.168.0.0
    • Mặt nạ ký tự đại diện: 255.255.0.0
    • Bỏ qua phạm vi cổng và IP / ký tự đại diện / cổng đích
    • Đặt Y vào "Tất cả IP"
    • Đặt E vào "Bao gồm / Loại trừ"
    • Đặt Y vào "Kết hợp đối diện"
  • Nhấn enterđể thêm quy tắc này vào bộ lọc, sau đó athêm quy tắc khác:

    • Bỏ qua tất cả các trường địa chỉ
    • Đặt Y vào "Tất cả IP"
    • Đặt tôi vào "Bao gồm / Loại trừ"
    • Đặt N vào "Kết hợp đối diện"

    Đây là quy tắc "cho phép tất cả". Nhấn enterđể chấp nhận nó.

  • Quay lại màn hình bộ lọc, nhấn xđể thoát. Chọn "Áp dụng bộ lọc ..." từ menu và áp dụng bộ lọc mới mà bạn đã tạo.

Bây giờ bạn có một bộ lọc chấp nhận mọi thứ - ngoại trừ lưu lượng truy cập đến hoặc đi từ mạng LAN.

(Trong trường hợp của tôi, tôi đã sử dụng nó để lọc cổng 22, khi tôi đang kết nối với máy tôi muốn kiểm tra qua ssh và iptrafchính đầu ra đã gây ra phần lớn lưu lượng truy cập vì nó đã đi qua ssh).


WTF, cảm ơn rất nhiều, điều này đã giúp. Hai manh mối ở bên cạnh tôi: Put Y in "All IP"- Tôi để trống trong quy tắc thứ 2, do đó nó không khớp với gì. Và sau đó tôi phải xóa quy tắc bao gồm (quy tắc thứ 2) một lần nữa, vì tôi "chèn" ed nó, vì vậy nó đã đi lên trên cùng. Dường như không có cách nào để di chuyển các quy tắc để sắp xếp lại sao cho quy tắc thứ 2 là thứ 2 .
Tino
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.