У нас есть Linux-сервер, используемый в качестве маршрутизатора, с различными правилами (IP, TCP-порт, UDP-порт и т. Д.) В iptables. FORWARD цепочка, которую можно добавить или удалить в любое время.
Мне нужно отслеживать различные аспекты трафика, проходящего через ящик, включая сегменты TCP и дейтаграммы UDP по отдельности.
netstat -s выводит статистику только для данных, исходящих от маршрутизатора или направленных на него, поэтому я решил, что сам iptables имеет больше смысла. я нашел это объяснение как направить трафик из FORWARD цепочка к пользовательской цепочке для мониторинга статистики, но не учитывает, какой будет эффект, если в FORWARD цепь.
У меня такой вопрос: добавит ли правило «перенаправить весь трафик, проходящий через машину, чтобы соответствовать правилам в [определяемой пользователем] цепочке», остановит ли трафик обработку остальной частью FORWARD цепь? Другими словами, если пакет попадает в FORWARD цепочка и сразу же перенаправляется в определенную пользователем цепочку только для отслеживания трафика, что будет с этим пакетом? Будет ли он продолжать следовать правилам в FORWARD цепочка, пока не будет достигнуто правило принять / отбросить пакет?
В итоге я провел некоторое тестирование системы, которой не было в производственной среде. Оказывается, вы МОЖЕТЕ использовать определяемую пользователем цепочку мониторинга трафика, и это не повлияет на ваши текущие правила.
Пакет пройдет через определенную пользователем цепочку, где его можно будет отслеживать, и он по-прежнему будет принят или заблокирован другими правилами в FORWARD цепь.