Saya mencari cara mudah untuk mengikuti paket melalui aturan iptables. Ini bukan tentang logging, karena saya tidak ingin mencatat semua lalu lintas (dan saya hanya ingin memiliki target LOG untuk aturan yang sangat sedikit).
Sesuatu seperti Wireshark untuk Iptables. Atau mungkin bahkan sesuatu yang mirip dengan debugger untuk bahasa pemrograman.
Terimakasih Chris
Catatan: Itu tidak harus menjadi alat GUI mewah. Tapi itu harus melakukan lebih dari sekedar menunjukkan penghitung paket atau lebih.
Pembaruan: Sepertinya kita tidak dapat menemukan apa pun yang menyediakan fungsionalitas yang diminta. Dalam hal ini: Mari kita setidaknya menemukan teknik yang baik yang didasarkan pada iptables logging - yang dapat dengan mudah dinyalakan dan dimatikan, dan tidak perlu menulis aturan iptables secara berlebihan (harus menulis aturan yang sama untuk -j LOG
dan -j ...
)
sumber
Jika Anda memiliki kernel dan versi iptables yang cukup baru, Anda dapat menggunakan target TRACE (Tampaknya dibangun di atas setidaknya Debian 5.0). Anda harus mengatur kondisi jejak Anda agar sespesifik mungkin dan menonaktifkan aturan TRACE ketika Anda tidak melakukan debug karena itu memuntahkan banyak informasi ke log.
Jika Anda menambahkan aturan seperti ini
Anda akan diberikan output yang terlihat seperti ini.
sumber
Tiga jawaban pada satu posting:
1) Debug dengan skrip:
2) Debug oleh syslog
Dari situs web ini: http://www.brandonhutchinson.com/iptables_fw.html
3) Tanpa debug, edit iptables yang bagus:
Juga ini bisa membantu: http://www.fwbuilder.org/
sumber
memiliki pertanyaan yang sama dan menemukan Zoredache menunjuk ke TRACE / ipt_LOG adalah solusinya!
Selain itu saya menemukan skrip yang menyisipkan / menghapus aturan LOG sebelum semua aturan iptables yang sedang aktif. Saya mencobanya dan menemukan itu menjadi alat yang sangat bagus. - Output mirip dengan solusi TRACE - Keuntungan: ini bekerja pada konfigurasi iptables aktif, dari mana pun itu diambil. Anda dapat menyalakan / mematikan logging dengan cepat! Anda tidak perlu memodifikasi skrip-firewall apa pun yang mungkin dihasilkan oleh Firewall Builder atau alat apa pun yang Anda gunakan ... - Kerugian: tanpa modifikasi, skrip membuat LOG-aturan untuk SEMUA aturan aktif. Sebaliknya, saat menggunakan aturan TRACE, Anda mungkin akan membatasi login ke alamat / layanan / koneksi yang ingin Anda selidiki pemrosesan iptables sekarang.
Bagaimanapun, saya suka pendekatan :) Kudos to Tony Clayton, lihat: http://lists.netfilter.org/pipermail/netfilter/2003-March/043088.html
Salam, Chris
sumber
Saya biasanya menggunakan penghitung paket dan byte untuk melihat bagaimana aturan bekerja dan untuk menemukan apa yang hilang atau salah.
Anda dapat melihatnya dengan "iptables -nvL".
sumber
AFAIK paket IP melewati rantai aturan sampai pertandingan pertama. Jadi saya tidak benar-benar melihat apa masalahnya di sini. Jika Anda memiliki:
Dan sebuah paket membuatnya menjadi log, itu berarti aturan 3 adalah aturan yang cocok pertama.
sumber
-j DROP
atau-j ACCEPT
) itu hanya akan melanjutkan pencocokan lebih lanjut di rantai.