Estou procurando uma maneira fácil de seguir um pacote através das regras do iptables. Não se trata tanto de log, porque não quero registrar todo o tráfego (e só quero ter destinos de LOG para poucas regras).
Algo como o Wireshark for Iptables. Ou talvez até algo semelhante a um depurador para uma linguagem de programação.
Obrigado Chris
Nota: Não precisa ser uma ferramenta gráfica sofisticada. Mas deve fazer mais do que apenas mostrar um contador de pacotes ou mais.
Atualização: quase parece que não conseguimos encontrar nada que ofereça a funcionalidade solicitada. Nesse caso: Vamos pelo menos encontrar uma boa técnica baseada no log do iptables - que pode ser ativada e desativada facilmente e não requer a redundância das regras do iptables (é necessário escrever a mesma regra para -j LOG
e -j ...
)
fonte
Se você possui um kernel e uma versão recentes recentes do iptables, pode usar o alvo TRACE (parece estar embutido no mínimo no Debian 5.0). Você deve definir as condições do seu rastreio para serem o mais específicas possível e desabilitar quaisquer regras de TRACE quando não estiver depurando, pois elas enviam muitas informações aos logs.
Se você adicionou regras como esta
Você receberá uma saída parecida com esta.
fonte
Três respostas em um post:
1) Depurar por script:
2) Depurar por syslog
A partir deste site: http://www.brandonhutchinson.com/iptables_fw.html
3) Sem depuração, bom iptables edita:
Também isso pode ser útil: http://www.fwbuilder.org/
fonte
teve a mesma pergunta e encontrou Zoredache apontando para TRACE / ipt_LOG foi a solução!
Além disso, encontrei um script que insere / remove regras de LOG que precedem todas as regras de tabelas de ip ativas no momento. Eu tentei e achei uma ferramenta muito boa. - A saída é semelhante à solução TRACE - Vantagem: funciona na configuração ativa do iptables, independentemente de onde foi carregada. Você pode ativar / desativar o log on-line! Você não precisa modificar nenhum script de firewall que possa ter sido gerado pelo Firewall Builder ou pela ferramenta que você usar ... - Desvantagem: sem modificação, o script cria regras de LOG para TODAS as regras ativas. Em vez disso, ao usar regras TRACE, você provavelmente restringirá o log a endereços / serviços / conexões para os quais deseja investigar o processamento de tabelas de ip agora.
De qualquer forma, eu gosto da abordagem :) Parabéns a Tony Clayton, dê uma olhada: http://lists.netfilter.org/pipermail/netfilter/2003-March/043088.html
Atenciosamente, Chris
fonte
Eu costumo usar contadores de pacotes e bytes para ver como as regras funcionam e para encontrar o que está faltando ou errado.
Você pode visualizá-los por "iptables -nvL".
fonte
AFAIK um pacote IP percorre a cadeia de regras até a primeira correspondência. Então, eu realmente não vejo qual é o problema aqui. Se você tem:
E um pacote entra no log, significa que a regra 3 é a primeira regra correspondente.
fonte
-j DROP
ou-j ACCEPT
), ela continuará a corresponder mais adiante na cadeia.