rp_filter에 의해 삭제된 패킷 로그가 꼭 필요합니다... 이 로깅을 어떻게 할 수 있나요?
활성화하는 방법을 기록합니다.
답변1
내가 아는 한, 이 중 어느 것도 문서화되어 있지 않습니다. 다른 사람이 내가 틀렸다는 것을 증명하지 않는 한 여기에 또 다른 접근 방식이 있습니다.
다음 1+2 또는 1+3 단계를 수행할 수 있습니다.
장애를 입히다rp_필터완전히.
iptables를 사용하세요'필터일치하는 모듈, 한 번통나무간단한 로그 대상 또는신경망 로그(심지어NF 큐(의도된 용도는 아니지만) 전체 패킷 덤프에 사용되며 실제 필터링에는 DROP 대상을 사용합니다.
사용신경망 로그아무래도 별도의 질문이 필요할 것 같은데, 특별한 도구 없이도
tcpdump들을 수 있다고 말씀드릴 수 있습니다.웹로그netlink 소켓은 마치 인터페이스인 것처럼 작동합니다. 일반적으로 먼저 수행됩니다.# tcpdump -D올바른 인터페이스 색인을 검색하십시오. 예를 들어:
[...]
12.nflog (Linux netfilter log (NFLOG) interface) 13.nfqueue (Linux netfilter queue (NFQUEUE) interface)[...]
# tcpdump -n -i 12 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on nflog, link-type NFLOG (Linux netfilter log messages), capture size 262144 bytes파일에 쓰도록 선택할 수도 있습니다(
-w dump.cap).또는 사용CMS~의거짓말하다(충분히 새로운) 일치하는 동등한 방법을 사용하십시오.nftables바꾸다iptables, 동등한 것이 있습니다통나무방법.
사용웹 필터방화벽 계층은 IPv6에 대한 유일한 접근 방식이며 이에 대한 지원이 부족합니다.rp_필터Linux의 라우팅 스택에 있습니다.
ARP 또는 정책 라우팅과 관련된 일부 특수 사례의 동작은 필터링이 나중에 수행될 수 있기 때문에 100% 동일하지 않을 수 있습니다.
답변2
sysctl 을 활성화 net.ipv4.conf.default.log_martians한 후 syslog 파일을 확인하면 다음과 유사한 내용이 있어야 합니다.
[8270435.701764] ll header: 00000000: ce 47 b8 a3 39 62 de 2e 40 0c a0 0c 08 00 .G..9b..@.....
[8270435.702460] IPv4: martian source 51.247.240.165 from 10.138.86.16, on dev tap12