capturando iptables port REDIRECT

1

Estou tentando redirecionar a porta e verificar se o redirecionamento está funcionando usando

iptables -t nat -D PREROUTING -i enp0s3 -p udp --dport 162 -j REDIRECT --to-port 10162

e depois

tcpdump -i enp0s3 udp port 10162

Infelizmente, isso não está capturando nada, ao mesmo tempo, iam ainda recebendo pacotes para a porta 162, via tcpdump.

Além disso, quando eu começo a usar o redirecionamento do iptables 162 - > 10162, eu paro de ver snmptrapd mensagens no syslog me informando, essa armadilha foi recebida. Depois de excluir a regra, o syslog está recebendo as informações novamente.

O que estou procurando, é a evidência de que a porta 10162 está recebendo a interceptação redirecionada, que é a entrada para o meu logstash e, portanto, posso investigar melhor o meu maior problema com a pilha ELK. Basicamente, estou em processo de tentar seguir o caminho passo a passo e ver onde está o meu problema.

Pelo menos porque snmptrapd pára de dizer que o trap é recebido no syslog (quando redirecionado) e mabye da maneira correta como configurar o tcpdump para capturar a comunicação "interna".

    
por J B 04.04.2018 / 09:50

1 resposta

0

Assim, o redirecionamento funciona bem, eu verifiquei por outros meios (depurando o próprio logstash - enviando snmptrap e capturando-o no logstash-console). Eu acho: Quando o redirecionamento ocorre, o snmptrapd não está mais recebendo nada na porta 162, pois é provavelmente redirecionado antes de ser acessado pelo iptables, mas o tcpdump é executado antes mesmo desse redirecionamento, de modo que ele toma 162 como porta original (baseado na própria mensagem). MAS não pode capturar na porta 10162 desde que não está sendo executado ou lendo "por trás dele". Essa é minha compreensão básica. Ainda seria bom saber a maneira de verificar também a porta 10162 após o redirecionamento, para uma compreensão e conhecimento ainda mais profundos ... ou uma explicação melhor do que a minha, que é uma suposição séria

    
por 04.04.2018 / 12:30