Eu tenho um roteador, com firewall (com política de descarte), nats, serviços.
-
Eu quero levar em conta todo o tráfego factual (inserido antes da firewal, emitido pelos serviços e transmitido pelo firewall no encaminhamento), com seu "real" src / dst (ou seja, antes do SNAT e depois do DNAT).
-
Além disso (com menos prioridade), talvez eu queira ver o tráfego que foi bloqueado pelo firewall (com regra ou política de filtro de entrada e filtro de encaminhamento).
Qual é o lugar correto para colocar a regra contábil?
Como diferenciar o tráfego aceito e rejeitado?
por
qMax
16.07.2016 / 18:53
- Existem três cadeias principais para capturar todo o tráfego - INPUT, OUTPUT e FORWARD - colocar regras apropriadas em todas elas para ver qualquer tipo de tráfego.
- Não há uma maneira direta de fazer isso. Não há cadeia (por padrão) para capturar o tráfego descartado / rejeitado e nenhum sinalizador no próprio pacote para indicar que ele será descartado. Portanto, você precisa criar uma cadeia personalizada e direcionar todo o tráfego rejeitado para ela, em vez de apenas DROP / REJECT. Então, dentro dessa cadeia, marque esses pacotes de alguma forma, por exemplo, mudando o campo TOS para 255, então coloque-os em -j NETFLOW e finalmente -j DROP / REJECT. Claro, você deve limpar o valor 255 do campo TOS de pacotes legítimos também.
por
16.07.2016 / 19:25