Wie kann ich LAN-Verkehr mit iptraf-ng ausschließen?

8

Ich möchte iptraf-ngsehen, wie viele Daten mein Computer aus dem Internet sendet / empfängt, möchte jedoch den Datenverkehr in meinem LAN ausschließen, da ich nur an Daten interessiert bin, die außerhalb des Standorts übertragen werden.

Ich habe einen Filter wie folgt erstellt, aber wenn ich ihn aktiviere, iptraf-ngwird überhaupt kein Datenverkehr angezeigt!

  • Ursprungs IP-Addresse: 192.168.0.0
  • Quell-Wildcard-Maske: 255.255.255.255
  • Ziel-IP-Adresse: 192.168.0.0
  • Ziel-Wildcard-Maske: 255.255.255.255
  • Protokolle: All IP, TCP, UDP, ICMP(Ist - Werte gesetzt oder ungesetzt machen keinen Unterschied)
  • Einschließen / Ausschließen: E(Wenn ich es ändere, Igibt es keinen Unterschied)
  • Match Gegenteil: N(wenn ich es ändere, Ygibt es keinen Unterschied)

Dies lässt mich denken, dass entweder die Filter komplett defekt sind oder ich wirklich falsch verstehe, wie sie funktionieren.

Wie soll ich einen iptraf-ngFilter erstellen , der den gesamten Datenverkehr ausschließt, bei dem sich sowohl die Quell- als auch die Ziel-IP in 192.168.0.0/24 befinden?

Malvineous
quelle
1
Wenn Sie sich nicht besonders mit iptraf-ng beschäftigen, können Sie sich das ansehen iftop. Erstaunliches Werkzeug. Wenn es sich um eine RHEL / Fedora-Maschine handelt, ist sie im Epel-Repository verfügbar. Verwenden Sie den iftopBefehl nach a yum install iftopund Sie werden es einfach lieben :).
Sree
@Sree: Ich verwende Arch und habe es bereits iftopinstalliert, kann aber auch nicht sehen, wie der LAN-Verkehr herausgefiltert werden kann. Das gesamte Display ist mit dem gesamten LAN-Verkehr mit hoher Bandbreite verstopft, und ich kann dann nicht sehen, welcher viel kleinere Verkehr das Netzwerk verlässt. Wie filtert man den LAN-Verkehr heraus iftop?
Malvineous
@ Malvineous Versorgungsfilter in der Kommandozeile. ZB iftop -f "not dst port 22 and not src port 22"um den gesamten SSH-Verkehr auszuschließen. Suchen Sie nach der "pcap-Syntax" für Spezifikationen der Filtersyntax.
AronVanAmmers

Antworten:

12

Zwei Dinge sollten beachtet werden:

  • "Match gegenüber" bedeutet nicht "den Sinn des Filters umkehren". Dies bedeutet "Passen Sie sowohl eingehenden als auch ausgehenden Datenverkehr für die Hosts / Ports im Filter an".
  • Sobald ein Filter vorhanden ist, wird jedes Paket verworfen, das nicht mit dem Filter übereinstimmt. Wenn Sie also einen Ausschlussfilter verwenden, ist es wichtig, ihn mit der Regel "Alle akzeptieren" zu vervollständigen, da sonst nichts übereinstimmt!

In diesem Sinne können Sie einen Filter definieren, um LAN auszuschließen:

  • Erstellen Sie einen Filter, geben Sie ihm einen Namen. Wenn Sie zum Hinzufügen eines Filters zum Bildschirm gelangen, fügen Sie Folgendes hinzu:

    • IP-Adresse: 192.168.0.0
    • Platzhaltermaske: 255.255.0.0
    • Überspringen Sie den Portbereich und die Ziel-IP / den Platzhalter / Port
    • Setzen Sie Y in "All IP"
    • Setzen Sie E in "Einschließen / Ausschließen"
    • Setzen Sie Y in "Match gegenüber"
  • Drücken Sie enter, um diese Regel zum Filter ahinzuzufügen , und fügen Sie dann eine weitere Regel hinzu:

    • Überspringen Sie alle Adressfelder
    • Setzen Sie Y in "All IP"
    • Setze ich in "Einschließen / Ausschließen"
    • Setzen Sie N in "Match gegenüber"

    Dies ist die Regel "Alle zulassen". Drücken Sie enter, um es zu akzeptieren.

  • Zurück im Filterbildschirm drücken Sie, um den Vorgang xzu beenden. Wählen Sie "Filter anwenden ..." aus dem Menü und wenden Sie den neu erstellten Filter an.

Sie haben jetzt einen Filter, der alles akzeptiert - außer Verkehr, der aus dem LAN kommt oder geht.

(In meinem Fall habe ich damit Port 22 gefiltert, als ich eine Verbindung zu dem Computer herstellte, den ich über ssh überprüfen wollte, und die iptrafAusgabe selbst verursachte den größten Teil des Datenverkehrs, weil er über ssh lief.)

RealSkeptic
quelle
WTF, vielen Dank, das hat geholfen. Zwei Hinweise an meiner Seite: Put Y in "All IP"- Ich habe es in der 2. Regel leer gelassen, daher passt es zu nichts. Und dann musste ich die Include-Regel (2. Regel) wieder löschen, weil ich sie "eingefügt" habe, also ging sie nach oben. Es scheint keine Möglichkeit zu geben, Regeln so zu verschieben, dass die zweite Regel die zweite ist .
Tino