Назад | Перейти на главную страницу

Какая правильная цепочка iptables ставит -j NETFLOW

У меня роутер, с фаерволом (с политикой сброса), натс, сервисы.

  1. Я хочу учитывать весь фактический трафик (введенный до брандмауэра, выведенный службами и прошедший брандмауэр при пересылке) с его «фактическим» src / dst (то есть до SNAT и после DNAT).

  2. Также (с меньшим приоритетом) я мог бы хотеть видеть трафик, который был заблокирован брандмауэром (с правилом или политикой входного фильтра и прямого фильтра).

Как правильно разместить правила бухгалтерского учета? Как различать принятый и отклоненный трафик?

  1. Существует три основных цепочки для перехвата всего трафика - INPUT, OUTPUT и FORWARD - установите соответствующие правила для всех из них, чтобы увидеть любой тип трафика.
  2. Прямого способа сделать это нет. Нет цепочки (по умолчанию) для перехвата отброшенного / отклоненного трафика, и в самом пакете нет флага, указывающего, что он будет отброшен. Итак, вам нужно создать собственную цепочку и направить в нее весь отклоненный трафик, а не просто DROP / REJECT. Затем внутри этой цепочки как-нибудь пометьте эти пакеты, например, изменив поле TOS на 255, затем поместите их в -j NETFLOW и, наконец, -j DROP / REJECT. Конечно, вы должны убрать значение 255 и из поля TOS легитимных пакетов.