bagaimana cara menangkap paket "DROP" pada OUTPUT dari iptables?

1

memiliki OUTPUTpemrosesan yang cukup kompleks iptables, bagaimana cara menangkap / menampilkan (setidaknya mirip dengan cara tcpdumpmenangkapnya) paket-paket yang akan pergi melalui antarmuka, tetapi DROPsebaliknya mengayuh di berbagai tempat iptables OUTPUT/ FORWARDpemrosesan rantai?

(karena paket-paket ini tidak muncul di antarmuka fisik, mungkin orang tidak dapat menggunakan tcpdump, kan?)

(yang terbaik yang bisa saya lakukan adalah mengubah di semua iptables target "DROP" untuk sesuatu yang akan meneruskan semua paket yang akan dijatuhkan ke antarmuka virtual / palsu, dan menjalankan tcpdump pada antarmuka ini - sepertinya hanya sebuah banyak pekerjaan, dan saya masih tidak jelas tentang bagaimana menyebabkan HANYA paket seperti itu untuk pergi antarmuka palsu ini - "rute" akan menyebabkan SEMUA paket untuk IP tersebut untuk pergi ke palsu, tetapi saya hanya perlu to-be- DROPped paket untuk pergi ke sana)

pembaruan : malu hampir-sama Q telah diminta sudah di forum lain dan dijawab di https://unix.stackexchange.com/questions/174107/record-contents-of-packets-dropped-in-iptables / malu ; satu-satunya perbaikan yang saya bisa minta adalah tidak harus meletakkan aturan logNFLOGsebelum / bukannya setiapDROPaturan yangmungkin. Ada yang mengambil?

bogo8
sumber

Jawaban:

0

Biasanya adalah ide yang baik untuk mencatat setiap paket yang terjatuh, sehingga Anda dapat men-debug bahkan masalah sementara dengan mudah.

Saya biasanya membuat 'target' baru yang menggabungkan keduanya:

iptables -N drop iptables -j NFLOG iptables -j DROP

Kemudian gunakan -j dropsebagai setetes pengganti DROP.

Matyas Koszik
sumber