Comment capturer les paquets “DROP” sur la sortie de iptables?

1

avoir un assez complexe OUTPUT traitement sur iptables, comment fait-on pour capturer / afficher (au moins de la même manière que tcpdump les capture) les paquets qui devaient partir à travers une interface, mais sont DROP ped à la place dans divers lieux de iptables OUTPUT / FORWARD traitement de la chaîne?

(puisque ces paquets n'apparaissent pas sur l'interface physique, on ne peut peut-être pas utiliser tcpdump, droite? )

(Le mieux que je pouvais trouver était de changer dans toutes les iptables la cible "DROP" en quelque chose qui transmettrait tous ces paquets à une chute virtuelle vers une interface virtuelle / fictive, et en exécutant tcpdump sur cette interface - cela ressemble à un Beaucoup de travail cependant et je ne suis toujours pas clair sur la façon de provoquer SEULEMENT ces paquets à utiliser cette fausse interface - "route" ferait en sorte que TOUS les paquets pour de telles adresses IP passent au faux, mais je n'ai besoin que du futur. DROP paquets de ped pour y aller)

mettre à jour : embarrassé presque la même chose a déjà été posée à un autre forum et répondu à https://unix.stackexchange.com/questions/174107/record-contents-of-packets-dropped-in-iptables /embarrassé ; la seule amélioration que je pourrais demander serait de ne pas avoir à mettre la règle du journal NFLOG avant / au lieu de tous les possibles DROP règle. N'importe quels preneurs?

bogo8
la source

Réponses:

0

En règle générale, il est conseillé de consigner chaque paquet supprimé pour pouvoir facilement résoudre les problèmes, même transitoires.

Je crée généralement une nouvelle "cible" qui combine les deux:

iptables -N drop iptables -j NFLOG iptables -j DROP

Puis utiliser -j drop comme remplaçant pour DROP.

Matyas Koszik
la source