Я использую брандмауэр iptables на OpenSuSE 11.3 - недавно я заинтересовался мониторингом и учетом трафика, и для этого установил модуль iptables_netflow на брандмауэре и платформу WANGuard на другом сервере. Модуль iptables_netflow построен и установлен и собирает данные; Я вижу изменение статистики в / proc / slabinfo и / proc / net / stat / ipt_netflow. WANGuard настроен и работает, так как WANGuard некоторое время экспортировал в него данные netflow, чтобы убедиться, что он работает. Однако я не могу получить экспорт netflow с брандмауэра на сервер WANGuard. Может ли моя конфигурация iptables это блокировать? iptables_netflow экспортирует через UDP-порт 2055. Вывод iptables -L -n (на межсетевом экране)
Chain INPUT (policy ACCEPT)
target prot opt source destination
NETFLOW all -- 0.0.0.0/0 0.0.0.0/0 NETFLOW
FW-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target prot opt source destination
NETFLOW all -- 0.0.0.0/0 0.0.0.0/0 NETFLOW
ACCEPT all -- 192.168.3.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
NETFLOW all -- 0.0.0.0/0 0.0.0.0/0 NETFLOW
Chain FW-1-INPUT (1 references)
target prot opt source destination
NETFLOW all -- 0.0.0.0/0 0.0.0.0/0 NETFLOW
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 192.168.3.0/24 0.0.0.0/0 udp dpt:161
ACCEPT tcp -- 192.168.3.0/24 0.0.0.0/0 tcp dpt:161
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:7788
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:694
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:68
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1194
ACCEPT tcp -- xx.xx.xx.xx 0.0.0.0/0 tcp dpt:5666
ACCEPT tcp -- xx.xx.xx.xx 0.0.0.0/0 tcp dpt:5666
ACCEPT udp -- xx.xx.xx.xx 0.0.0.0/0 udp dpt:123
ACCEPT udp -- xx.xx.xx.xx 0.0.0.0/0 udp dpt:123
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp multiport dports 4569,5060
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp multiport dports 4569,5060
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Я попробовал несколько правил в таблице OUTPUT, указав исходный / целевой хост и порты, но мне не повезло.
Есть нет правила iptables на сервере WANGuard.
Использование tcpdump на брандмауэре и grep'ing для IP-адреса сервера WANGuard дает
openvpn01:/home/gjones # tcpdump -i eth0 |grep 192.168.3.194
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
13:27:57.103687 IP openvpn01.dev.59531 > 192.168.3.194.iop: UDP, length 1464
13:27:57.302686 IP openvpn01.dev.59531 > 192.168.3.194.iop: UDP, length 1464
13:27:57.802683 IP openvpn01.dev.59531 > 192.168.3.194.iop: UDP, length 1464
13:27:58.503707 IP openvpn01.dev.59531 > 192.168.3.194.iop: UDP, length 1464
13:27:59.103688 IP openvpn01.dev.59531 > 192.168.3.194.iop: UDP, length 1464
На брандмауэре я запускаю netstat -na и ищу «2055» (порт назначения netflow)
udp 0 0 192.168.3.112:59531 192.168.3.194:2055 ESTABLISHED
На сервере WANGuard я делаю то же самое:
# netstat -na |grep 2055
udp 0 0 192.168.3.194:51139 192.168.3.194:2055 ESTABLISHED
udp 0 0 192.168.3.194:2055 0.0.0.0:*
По запросу Гаумире здесь также есть netstat -uan.
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
udp 0 0 192.168.3.194:51139 192.168.3.194:2055 ESTABLISHED
udp 0 0 192.168.3.194:2055 0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 192.168.3.194:123 0.0.0.0:*
udp 0 0 127.0.0.2:123 0.0.0.0:*
udp 0 0 127.0.0.1:123 0.0.0.0:*
udp 0 0 0.0.0.0:123 0.0.0.0:*
udp 0 0 0.0.0.0:161 0.0.0.0:*
udp 0 0 0.0.0.0:631 0.0.0.0:*
udp 0 0 0.0.0.0:851 0.0.0.0:*
udp 0 0 :::111 :::*
udp 0 0 ::1:123 :::*
udp 0 0 fe80::2a0:d1ff:fee1:123 :::*
udp 0 0 :::123 :::*
udp 0 0 :::851 :::*
Обратите внимание, что я также настроил экспортер netflow на сервере WANGuard, который, похоже, работает (я получаю данные в WANGuard).
Проверяя журналы для WANGuard, я вижу ошибку «Неожиданный PDU: src_ip = 192.168.3.112 не настроен» Google не обнаруживает ничего, что я мог найти.
Может ли кто-нибудь помочь мне понять, в чем ошибка?
Спасибо,
Кендалл
Чтобы проверить, блокирует ли конфигурация iptables, обычно рекомендуется временно отключить iptables (за исключением, конечно, правил NETFLOW). Также проверьте dmesg поскольку могут быть важные сообщения ядра / модуля. Более старая версия модуля NETFLOW должна иметь sysctl net.netflow.destination устанавливать после интерфейсы ВВЕРХ. Попробуйте установить место назначения вручную, чтобы проверить это. Или попробуйте последний версия модуля из git репо (не из tar.gz). Проверить статистику модуля с помощью cat /proc/net/stat/ipt_netflow для сброшенных потоков или ошибок сокета.
Есть ли что-нибудь между openvpn01.dev и хостом 192.168.3.194, межсетевой экран или какое-то такое устройство может быть ?? Схема могла бы помочь. Если вывод iptables относится к вашему wanguard-серверу. Для ваших политик установлено значение ACCEPT, поэтому они не должны быть проблемой.
Служба, о которой вы упомянули, работает на сервере. Пожалуйста, введите следующую команду как root.
#netstat -tupan | grep 'LIST\|*'