Szukam łatwego sposobu na śledzenie pakietu za pomocą reguł iptables. Nie chodzi o rejestrowanie, ponieważ nie chcę rejestrować całego ruchu (i chcę mieć cele LOG tylko dla kilku reguł).
Coś jak Wireshark dla Iptables. A może nawet coś podobnego do debuggera dla języka programowania.
Dzięki Chris
Uwaga: To nie musi być fantazyjne narzędzie GUI. Ale musi zrobić coś więcej niż tylko wyświetlenie licznika pakietów.
Aktualizacja: wygląda prawie tak, jakbyśmy nie mogli znaleźć niczego, co zapewni wymaganą funkcjonalność. W takim przypadku: znajdźmy przynajmniej dobrą technikę opartą na logowaniu iptables - którą można łatwo włączać i wyłączać i która nie wymaga redundantnego pisania reguł iptables (pisanie tej samej reguły dla -j LOG
i -j ...
)
źródło
Jeśli masz wystarczającą ilość jądra i wersji iptables, możesz użyć celu TRACE (Wydaje się, że jest wbudowany przynajmniej w Debian 5.0). Powinieneś ustawić warunki śledzenia tak, aby były jak najbardziej szczegółowe i wyłączyć wszelkie reguły ŚLEDZENIA, gdy nie debugujesz, ponieważ powoduje to wyrzucanie dużej ilości informacji do dzienników.
Jeśli dodałeś takie reguły
Otrzymasz wyjście, które wygląda następująco.
źródło
Trzy odpowiedzi na jeden post:
1) Debuguj według skryptu:
2) Debugowanie przez syslog
Z tej strony: http://www.brandonhutchinson.com/iptables_fw.html
3) Bez debugowania, ładna edycja iptables:
Może to również być pomocne: http://www.fwbuilder.org/
źródło
Miałem to samo pytanie i znalazłem Zoredache wskazujący na TRACE / ipt_LOG było rozwiązaniem!
Dodatkowo znalazłem skrypt, który wstawia / usuwa reguły LOG poprzedzające wszystkie aktualnie aktywne reguły iptables. Wypróbowałem to i odkryłem, że to naprawdę miłe narzędzie. - Dane wyjściowe są podobne do rozwiązania TRACE - Zaleta: działa na aktywnej konfiguracji iptables, bez względu na to, skąd został załadowany. Możesz włączyć / wyłączyć logowanie w locie! Nie musisz modyfikować żadnych skryptów zapory, które mogły zostać wygenerowane przez Firewall Builder lub narzędzie, którego używasz ... - Wada: bez modyfikacji skrypt tworzy reguły LOG dla WSZYSTKICH aktywnych reguł. Zamiast tego, korzystając z reguł TRACE, prawdopodobnie ograniczysz rejestrowanie do adresów / usług / połączeń, dla których chcesz teraz sprawdzić przetwarzanie iptables.
W każdym razie podoba mi się podejście :) Uznanie dla Tony'ego Claytona, zobacz: http://lists.netfilter.org/pipermail/netfilter/2003-March/043088.html
Pozdrawiam Chris
źródło
Zwykle używam liczników pakietów i bajtów, aby zobaczyć, jak działają reguły i znaleźć to, czego brakuje lub które są złe.
Możesz je wyświetlić za pomocą „iptables -nvL”.
źródło
AFAIK pakiet IP przechodzi przez łańcuch reguł aż do pierwszego dopasowania. Więc tak naprawdę nie rozumiem, na czym polega problem. Jeśli masz:
Pakiet trafia do dziennika, co oznacza, że reguła 3 jest pierwszą pasującą regułą.
źródło
-j DROP
lub-j ACCEPT
), po prostu będzie kontynuowała dopasowywanie dalej w dół łańcucha.