Comment exclure le trafic LAN avec iptraf-ng?

8

Je voudrais utiliser iptraf-ngpour voir la quantité de données que ma machine envoie / reçoit depuis Internet, mais je veux exclure le trafic sur mon LAN car je ne suis intéressé que par les données hors site.

J'ai créé un filtre comme suit, mais lorsque je l'active, il iptraf-ngn'y a aucun trafic du tout!

  • Adresse IP source: 192.168.0.0
  • Masque générique source: 255.255.255.255
  • Adresse IP de destination: 192.168.0.0
  • Masque générique de destination: 255.255.255.255
  • Protocoles: All IP, TCP, UDP, ICMP(valeurs réelles définies ou faire unset pas de différence)
  • Inclure / exclure: E(si je le change, il In'y a pas de différence)
  • Match opposé: N(si je le change, il Yn'y a pas de différence)

Cela me fait penser que les filtres sont complètement cassés ou que je ne comprends vraiment pas comment ils fonctionnent.

Comment dois-je créer un iptraf-ngfiltre qui exclut tout le trafic où les IP source et de destination se trouvent dans 192.168.0.0/24?

networking bandwidth Malvineous
la source
1
Si vous n'êtes pas particulier sur l'utilisation d'iptraf-ng, vous pouvez regarder iftop. Outil incroyable. S'il s'agit d'une machine RHEL / Fedora, elle est disponible dans le référentiel epel. Utilisez la iftopcommande après un yum install iftopet vous allez l'adorer :).
Citylight
@Sree: J'exécute Arch et je l'ai déjà iftopinstallé, mais je ne vois pas non plus comment filtrer le trafic LAN. L'écran entier est obstrué par tout le trafic LAN à large bande passante et je ne peux pas alors voir quel trafic beaucoup plus petit quitte le réseau. Comment filtrez-vous le trafic LAN iftop?
Malvineous
@Malvineous supply filters sur la ligne de commande. Par exemple, iftop -f "not dst port 22 and not src port 22"pour exclure tout le trafic SSH. Recherchez la "syntaxe pcap" pour les spécifications de la syntaxe de filtrage.
AronVanAmmers

Réponses:

12

Il faut noter deux choses:

  • "Match opposé" ne signifie pas "inverser le sens du filtre". Cela signifie "Faire correspondre le trafic entrant et sortant pour les hôtes / ports du filtre".
  • Une fois qu'un filtre est en place, tout paquet qui ne correspond pas au filtre est rejeté. Donc, si vous utilisez un filtre d'exclusion, il est important de le compléter avec une règle "accepter tout", sinon rien ne correspond!

Dans cet esprit, la façon de définir un filtre pour exclure le LAN est:

  • Créez un filtre, donnez-lui un nom. Lorsque vous arrivez à l'écran pour ajouter un filtre, ajoutez ce qui suit:

    • Adresse IP: 192.168.0.0
    • Masque générique: 255.255.0.0
    • Ignorer la plage de ports et l'adresse IP / le caractère générique / le port de destination
    • Mettez Y dans "Tout IP"
    • Mettez E dans "Inclure / Exclure"
    • Mettez Y dans "Match opposé"

  • Appuyez sur enterpour ajouter cette règle au filtre, puis apour ajouter une autre règle:

    • Ignorer tous les champs d'adresse
    • Mettez Y dans "Tout IP"
    • Mettez I dans "Inclure / Exclure"
    • Mettez N dans "Match opposé"

    Celui-ci est la règle "autoriser tout". Appuyez sur enterpour l'accepter.

  • De retour dans l'écran du filtre, appuyez sur xpour quitter. Sélectionnez "Appliquer le filtre ..." dans le menu et appliquez le nouveau filtre que vous avez créé.

Vous avez maintenant un filtre qui accepte tout - sauf le trafic entrant ou sortant du LAN.

(Dans mon cas, je l'ai utilisé pour filtrer le port 22, car je me connectais à la machine que je voulais vérifier via ssh, et la iptrafsortie elle-même causait la majeure partie du trafic car elle passait par ssh).

RealSkeptic
la source
WTF, merci beaucoup, cela a aidé. Deux indices à mes côtés: Put Y in "All IP"- Je l'ai laissé vide dans la 2ème règle, donc ça ne correspond à rien. Et puis j'ai dû à nouveau supprimer la règle d'inclusion (2e règle), car je l'ai "insérée", donc elle est allée en haut. Il semble qu'il n'y ait aucun moyen de déplacer les règles pour les réorganiser de telle sorte que la 2e règle soit la 2e .
Tino