web-dev-qa-db-ja.com

-jNETFLOWを配置するための正しいiptablesチェーンとは何ですか

ファイアウォール(ドロップポリシー付き)、nats、サービスを備えたルーターがあります。

  1. すべての事実上のトラフィック(ファイアウォールの前に入力され、サービスによって出力され、転送時にファイアウォールを通過した)を、その「実際の」src/dst(つまり、SNATの前とDNATの後)で説明したいと思います。

  2. また、(優先度は低くなりますが)ファイアウォールによってブロックされたトラフィックを確認したい場合があります(入力フィルターと転送フィルターのルールまたはポリシーを使用)。

会計規則を置く正しい場所はどこですか?受け入れられたトラフィックと拒否されたトラフィックを区別する方法は?

iptablesfirewallnetflowaccounting
1
QwiglyDee
  1. すべてのトラフィックをキャッチするための3つの主要なチェーン(INPUT、OUTPUT、およびFORWARD)があり、それらすべてに適切なルールを設定して、あらゆる種類のトラフィックを確認します。
  2. これを行う直接的な方法はありません。ドロップ/拒否されたトラフィックをキャッチするチェーン(デフォルト)はなく、パケット自体にドロップされることを示すフラグもありません。したがって、カスタムチェーンを作成し、DROP/REJECTだけでなく、拒否されたすべてのトラフィックをそのチェーンに転送する必要があります。次に、そのチェーン内で、これらのパケットに何らかの方法でマークを付けます。たとえば、TOSフィールドを255に変更してから、-j NETFLOWに入れ、最後に-j DROP/REJECTに入れます。もちろん、正当なパケットのTOSフィールドから値255も削除する必要があります。
2
catpnosis