registra o conteúdo dos pacotes descartados no iptables

2

Eu estou tentando encontrar uma maneira de gravar todo o conteúdo dos pacotes (possivelmente com o tcpdump) que foram descartados de acordo com as regras do iptables.

Atualmente, eu tenho uma regra para registrar esses pacotes (com um prefixo de log) e, em seguida, seguir esta regra para soltá-los.

Existe uma maneira de registrar o conteúdo desses pacotes para revisão depois ?

Então, estou procurando por isso:

  1. Uma regra que registra o pacote correspondente
  2. Uma regra que passa o pacote para um novo alvo que registra seu conteúdo (talvez alvo de FILA?)
  3. Uma regra que baixa o pacote

2 & 3 podem até ser combinados.

Meu entendimento é que o tcpdump pode não ser capaz de fazer isso, já que examina pacotes antes do iptables e, portanto, não registrará apenas os pacotes descartados.

Obrigado.

    
por OneCheapDrunk 13.12.2014 / 22:54

1 resposta

5

O alvo NFLOG pode ser usado para essa finalidade. Aqui está um exemplo muito básico:

# Drop traffic by default
iptables -P INPUT DROP

# add your whitelists here
# iptables -A INPUT ...

# Pass the packets to NFLOG (just like LOG, but instead of syslog,
# it uses netlink). You can add extra filters such as '-p tcp' as usual
iptables -A INPUT -j NFLOG
# packets that get here will now be dropped per INPUT policy

# Finally you can use tcpdump to capture from this interface (there
# can only be one active user of nflog AFAIK)
tcpdump -i nflog ...

Consulte a página de manual iptables-extensions para obter uma descrição da meta NFLOG .

    
por 22.12.2014 / 16:02