Bir paketi bırakmaktan hangi iptables kuralının sorumlu olduğunu bulmanın bir yolu var mı?


31

Yerinde bir güvenlik duvarı ile gelen bir sistem var. Güvenlik duvarı 1000'den fazla iptables kuralından oluşur. Bu kurallardan biri, bırakılmasını istemediğim paketleri atmak. (Bunu biliyorum çünkü onu iptables-savetakip ettim iptables -Fve uygulama çalışmaya başladı.) Elle düzenlemenin çok fazla yolu var. Bana hangi kuralın paketleri düşürdüğünü göstermek için bir şeyler yapabilir miyim?


1
fedorahosted.org/dropwatch gelecekte de yardımcı olabilir.
Shawn J. Goff

Sayaçların güncellemelerini gerçek zamanlı olarak görmek için <br/> <code> iptables -L -v -n </code> ipuçlarını izleyin
Chris Gibb

Yanıtlar:


19

Paketin geçtiği her kuralı günlüğe kaydetmek için zincirin başlarına bir TRACE kuralı ekleyebilirsiniz.

iptables -L -v -n | lessKuralları aramana izin vermek için kullanmayı düşünürdüm . Limana bakardım; adres; ve geçerli olan arayüz kuralları. Çok fazla kuralınız olduğuna göre, çoğunlukla kapalı bir güvenlik duvarı kullanıyorsunuz ve trafik için izin kuralını kaçırıyorsunuz.

Güvenlik duvarı nasıl inşa edilir? Oluşturucu kurallarına bakmak, yerleşik kurallardan daha kolay olabilir.


Bu soruyu sorduktan sonra kuralların APF'ye ait olduğunu düşündüm ve bunu çözebildim. Yine de TRACE hedefini seviyorum. Bu çok etkili olurdu.
Shawn J. Goff

2
TRACE hedefini kullanmaya bir örnek burada: serverfault.com/questions/122157/debugger-for-iptables/… .
slm

14

iptables -L -v -nHer tablo ve her kural için paket ve bayt sayaçlarını görmek için koşun .


Bu iyi, 1000 kural ve 1000 paket paket bıraktığı için daha iyisini umuyorum.
Shawn J. Goff

sortKuralları paket sayacına göre sıralamak için kullanın .
ninjalj

13

iptables -L -v -nSayaçlar olduğundan beri aşağıdakileri yapabilirsiniz.

iptables -L -v -n > Sample1
#Cause the packet that you suspect is being dropped by iptables
iptables -L -v -n > Sample2
diff Sample1 Sample2

Bu şekilde yalnızca artan kuralları göreceksiniz.


9

Kullandığım şirketimde watch -n 2 -d iptables -nvLtalepler arasındaki değişiklikleri gösteriyor


5
watch -n1 -d "iptables -vnxL | grep -v -e pkts -e Chain | sort -nk1 | tac | column -t"

Unutmayın, bu sadece masa filtresi için malzeme gösterecektir .

Ekle -t nat(veya filtrenin yanında kullanmak hangisi tablo) sizin iptables çağrısına, kurallar kontrol etmeyi.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.