1

имея довольно сложную обработку OUTPUT на iptables , как можно захватывать / отображать (по крайней мере, аналогично тому, как tcpdump их захватывает) пакеты, которые должны были быть оставлены через интерфейс, но вместо этого выполняются DROP ped в различных местах iptables OUTPUT / FORWARD цепная обработка?

(поскольку эти пакеты не появляются на физическом интерфейсе, возможно, нельзя использовать tcpdump , верно? )

(лучшее, что я мог придумать, это изменить во всех iptables цель "DROP" на что-то, что перенаправляло бы все такие отбрасываемые пакеты на виртуальный / поддельный интерфейс, и запускать tcpdump на этом интерфейсе - это просто похоже на много работы, хотя, и я до сих пор не понимаю, как заставить ТОЛЬКО такие пакеты отправляться на этот поддельный интерфейс - "маршрут" приведет к тому, что ВСЕ пакеты для таких IP-адресов перейдут на подделку, но мне нужно только, чтобы быть DROP отправлять туда пакеты)

обновление: смущенный почти такой же Q был задан уже на другом форуме и ответил на https://unix.stackexchange.com/questions/174107/record-contents-of-packets-dropped-in-iptables /embarrassed ; единственное улучшение, которое я мог бы попросить, - это не помещать правило журнала NFLOG перед / вместо каждого возможного правила DROP . Любой берущий?

1 ответ1

0

Как правило, рекомендуется регистрировать каждый отброшенный пакет, чтобы можно было легко отладить даже временные проблемы.

Я обычно создаю новую «цель», которая объединяет два:

iptables -N drop iptables -j NFLOG iptables -j DROP

Затем используйте -j drop как замену DROP .

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .