Ich suche nach einer einfachen Möglichkeit, ein Paket anhand der iptables-Regeln zu verfolgen. Hier geht es nicht so sehr um die Protokollierung, da ich nicht den gesamten Datenverkehr protokollieren möchte (und nur für sehr wenige Regeln LOG-Ziele haben möchte).
So etwas wie Wireshark für Iptables. Oder vielleicht sogar so etwas wie ein Debugger für eine Programmiersprache.
Danke Chris
Hinweis: Es muss kein schickes GUI-Tool sein. Aber es muss mehr als nur einen Paketzähler oder so anzeigen.
Update: Es sieht fast so aus, als ob wir nichts finden können, das die gewünschte Funktionalität bietet. In diesem Fall: Lassen Sie uns zumindest eine gute Technik finden, die auf der iptables-Protokollierung basiert - die einfach ein- und ausgeschaltet werden kann und keine redundanten iptables-Regeln erfordert (für -j LOG
und muss dieselbe Regel geschrieben werden -j ...
).
quelle
Wenn Sie einen Kernel und eine Version von iptables haben, die aktuell genug sind, können Sie das TRACE-Ziel verwenden (Scheint in mindestens Debian 5.0 eingebaut zu sein). Sie sollten die Bedingungen für Ihre Ablaufverfolgung so genau wie möglich festlegen und alle TRACE-Regeln deaktivieren, wenn Sie nicht debuggen, da sie viele Informationen in die Protokolle einspeisen.
Wenn Sie Regeln wie diese hinzugefügt haben
Sie erhalten eine Ausgabe, die so aussieht.
quelle
Drei Antworten auf einen Beitrag:
1) Debug per Skript:
2) Debug von Syslog
Von dieser Website: http://www.brandonhutchinson.com/iptables_fw.html
3) Kein Debug, nette Iptables bearbeiten:
Auch das kann hilfreich sein: http://www.fwbuilder.org/
quelle
hatte die gleiche Frage und fand, dass Zoredache auf TRACE / ipt_LOG zeigte, die Lösung war!
Zusätzlich habe ich ein Skript gefunden, das LOG-Regeln vor allen momentan aktiven iptables-Regeln einfügt / entfernt. Ich habe es ausprobiert und fand es ein wirklich schönes Werkzeug. - Die Ausgabe ähnelt der TRACE-Lösung. - Vorteil: Sie funktioniert in der aktiven iptables-Konfiguration, unabhängig davon, woher sie geladen wurde. Sie können die Protokollierung im laufenden Betrieb ein- und ausschalten! Sie müssen keine Firewall-Skripte ändern, die möglicherweise von Firewall Builder oder einem Tool generiert wurden. - Nachteil: Ohne Änderung erstellt das Skript LOG-Regeln für ALLE aktiven Regeln. Wenn Sie TRACE-Regeln verwenden, beschränken Sie die Protokollierung wahrscheinlich auf Adressen / Dienste / Verbindungen, für die Sie jetzt die Verarbeitung von iptables untersuchen möchten.
Jedenfalls gefällt mir der Ansatz :) Ein dickes Lob an Tony Clayton, schauen Sie mal: http://lists.netfilter.org/pipermail/netfilter/2003-March/043088.html
Grüße, Chris
quelle
Normalerweise verwende ich Pakete und Bytezähler, um zu sehen, wie Regeln funktionieren und was fehlt oder falsch ist.
Sie können sie mit "iptables -nvL" anzeigen.
quelle
AFAIK ein IP-Paket durchläuft die Regelkette bis zur ersten Übereinstimmung. Ich verstehe also nicht wirklich, wo das Problem liegt. Wenn Sie haben:
Und ein Paket schafft es ins Protokoll, das bedeutet, dass Regel 3 die erste übereinstimmende Regel ist.
quelle
-j DROP
oder-j ACCEPT
) hat, passt sie nur weiter in der Kette zusammen.