Como ver o conteúdo de pacotes descartados na cadeia OUTPUT no iptables

1

iptables é como abaixo:

# iptables -t filter -nvL
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    1   328 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW,ESTABLISHED 
    0     0 LOGGING    all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
  487 49868 LOGGING    all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain LOGGING (2 references)
 pkts bytes target     prot opt in     out     source               destination         
   39  9426 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 2/min burst 5 LOG flags 0 level 4 prefix 'IPTables-Dropped: ' 
  487 49868 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

O número de pacotes eliminados está aumentando da cadeia INPUT e OUTPUT. Existe alguma maneira de ver o conteúdo desses pacotes descartados? Eu tentei trabalhar o tcpdump, mas não consegui entender. por favor alguém pode me ajudar com sintaxe, comando apropriado ou ferramenta para ver o conteúdo desses pacotes descartados em formato legível.

Aqui os pacotes descartados são transferidos para a cadeia de custódia LOGGING e nos logs do sistema.

 tail -f /var/log/messages
    
por user3134198 29.03.2014 / 17:04

1 resposta

0

O tcpdump opera depois do filtro, assim você não verá nenhum pacote de entrada sendo descartado.

Com suas regras, os pacotes estão sendo registrados nos logs do kernel. Com a regra LOG , você obtém os cabeçalhos, mas não o conteúdo completo. Se você quiser registrar todo o conteúdo, substitua LOG por ULOG (que usa opções diferentes, você provavelmente não precisa de nenhum exceto talvez --ulog-prefix ) e execute o ulogd daemon.

    
por 30.03.2014 / 03:06