tendo um processamento OUTPUT bastante complexo em iptables , como é possível capturar / exibir (pelo menos da mesma forma como tcpdump os captura) os pacotes que deveriam sair por meio de uma interface, mas são DROP ped em vez disso, em vários locais de iptables OUTPUT / FORWARD processamento de cadeia?
(como esses pacotes não aparecem na interface física, talvez não seja possível usar tcpdump , certo?)
(o melhor que eu consegui fazer foi mudar em todos os iptables o alvo "DROP" para algo que redirecionaria todos os pacotes a serem descartados para uma interface virtual / falsa, e executando o tcpdump nessa interface - apenas Parece um monte de trabalho e eu ainda não estou claro sobre como causar apenas tais pacotes para ir esta interface falsa - "rota" faria com que todos os pacotes para tais IPs ir para o falso, mas eu preciso apenas o to- % dos pacotesDROP ped para ir para lá)
update : envergonhado quase o mesmo Q já foi perguntado em outro fórum e respondido em link / embaraçado ; a única melhoria que eu poderia pedir seria não ter que colocar a regra de log NFLOG antes / em vez de cada possível regra DROP . Algum tomador?
Geralmente é uma boa idéia registrar todos os pacotes descartados, para que você possa depurar até mesmo problemas transitórios com facilidade.
Eu geralmente crio um novo 'alvo' que combina os dois:
iptables -N drop
iptables -j NFLOG
iptables -j DROP
Em seguida, use -j drop como substituto para DROP .