Como excluir o tráfego da LAN com o iptraf-ng?

8

Gostaria de usar iptraf-ngpara ver a quantidade de dados que minha máquina está enviando / recebendo da Internet, mas quero excluir o tráfego na minha LAN, pois estou interessado apenas em dados que saem do local.

Eu criei um filtro da seguinte maneira, mas quando o ativo, iptraf-ngnão mostra nenhum tráfego!

  • Endereço IP de origem: 192.168.0.0
  • Máscara curinga de origem: 255.255.255.255
  • Endereço IP de destino: 192.168.0.0
  • Máscara curinga de destino: 255.255.255.255
  • Protocolos: All IP, TCP, UDP, ICMP(valores reais definida ou fazer unset nenhuma diferença)
  • Incluir / excluir: E(se eu mudar para Inão há diferença)
  • Correspondência contrária: N(se eu mudar para Ynão há diferença)

Isso está me fazendo pensar que os filtros estão completamente quebrados ou estou realmente entendendo mal como eles funcionam.

Como devo criar um iptraf-ngfiltro que exclua todo o tráfego em que os IPs de origem e de destino estão em 192.168.0.0/24?

Malvineous
fonte
1
Se você não está interessado em usar o iptraf-ng, pode ver iftop. Ferramenta incrível. Se for uma máquina RHEL / Fedora, estará disponível no repositório epel. Use o iftopcomando após a yum install iftope você simplesmente vai adorar :).
Citylight
@Sree: Estou executando o Arch e já o iftopinstalei, mas também não consigo ver como filtrar o tráfego da LAN. A tela inteira está entupida com todo o tráfego de LAN de alta largura de banda e não consigo ver qual tráfego menor está saindo da rede. Como você filtra o tráfego da LAN iftop?
Malvineous
@ Filtros de suprimentos malvados na linha de comando. Por exemplo, iftop -f "not dst port 22 and not src port 22"para excluir todo o tráfego SSH. Pesquise a "sintaxe pcap" para obter especificações da sintaxe de filtragem.
AronVanAmmers

Respostas:

12

Duas coisas devem ser observadas:

  • "Correspondência oposta" não significa "reverter o sentido do filtro". O que isso significa é "Corresponder o tráfego de entrada e saída para os hosts / portas no filtro".
  • Depois que um filtro é instalado, qualquer pacote que não corresponda ao filtro é descartado. Portanto, se você usar um filtro de exclusão, é importante concluí-lo com uma regra "aceitar tudo", caso contrário, nada será correspondido!

Com isso em mente, a maneira de definir um filtro para excluir a LAN é:

  • Crie um filtro, dê um nome a ele. Quando você chegar na tela para adicionar filtro, adicione o seguinte:

    • Endereço IP: 192.168.0.0
    • Máscara curinga: 255.255.0.0
    • Ignore o intervalo de portas e o IP / curinga / porta de destino
    • Coloque Y em "Todo IP"
    • Coloque E em "Incluir / Excluir"
    • Coloque Y em "Corresponder ao oposto"
  • Pressione enterpara adicionar esta regra ao filtro e, em seguida, apara adicionar outra regra:

    • Ignorar todos os campos de endereço
    • Coloque Y em "Todo IP"
    • Coloque I em "Incluir / Excluir"
    • Coloque N em "Corresponder ao oposto"

    Essa é a regra "permitir tudo". Pressione enterpara aceitá-lo.

  • De volta à tela de filtro, pressione xpara sair. Selecione "Aplicar filtro ..." no menu e aplique o novo filtro que você criou.

Agora você tem um filtro que aceita tudo - exceto o tráfego vindo ou saindo da LAN.

(No meu caso, usei-o para filtrar a porta 22, pois estava conectando à máquina que queria verificar via ssh, e a iptrafsaída em si estava causando a maior parte do tráfego porque estava passando pelo ssh).

RealSkeptic
fonte
WTF, muito obrigado, isso ajudou. Duas pistas ao meu lado: Put Y in "All IP"- Deixei em branco na 2ª regra, portanto não combina com nada. E então eu tive que excluir a regra de inclusão (2ª regra) novamente, porque eu a "inseri" e a coloquei no topo. Parece não haver maneira de mover regras para reordenar, de modo que a 2ª regra seja a 2ª .
Tino