Какая правильная цепочка iptables для установки -j NETFLOW
У меня есть маршрутизатор, с брандмауэром (с политикой отбрасывания), натс, сервисами.
Я хочу учитывать весь фактический трафик (введенный до брандмауэра, выведенный службами и прошедший брандмауэр при пересылке) с его «фактическим» src / dst (то есть до SNAT и после DNAT).
Также (с меньшими затратами) приоритет) Я могу захотеть увидеть трафик, который был заблокирован брандмауэром (с правилом или политикой входного фильтра и прямого фильтра). Как различать принятый и отклоненный трафик?
1
задан qMax
16 July 2016 в 19:53
Ссылка
1 ответ
- Есть три основные цепочки для перехвата всего трафика - INPUT, OUTPUT и FORWARD - установите во всех них соответствующие правила, чтобы видеть любой трафик.
- Прямого пути для этого нет. Нет цепочки (по умолчанию) для перехвата брошенного/отброшенного трафика и нет флага в самом пакете, означающего, что он будет брошен. Таким образом, вам нужно создать пользовательскую цепочку и направить в нее весь отклоненный трафик, а не только DROP/REJECT. Затем, внутри этой цепочки, как-нибудь пометьте эти пакеты, например, изменив поле TOS на 255, затем поместите их в -j NETFLOW, и, наконец, -j DROP/REJECT. Конечно, нужно очистить и значение 255 из TOS-поля легитимных пакетов.
2