나는 iptables의 규칙에 따라(아마도 tcpdump를 사용하여) 삭제된 패킷의 전체 내용을 기록하는 방법을 찾으려고 노력하고 있습니다.
현재 저는 이러한 패킷을 기록하고(로그 접두사 포함) 해당 규칙에 따라 패킷을 삭제하는 규칙을 가지고 있습니다.
검토를 위해 이러한 패킷의 내용을 기록하는 방법이 있습니까?그 다음에?
그래서 저는 이것을 찾고 있습니다 :
- 일치하는 패킷에 대한 기록 규칙
- 내용을 기록하는 새로운 대상(아마도 QUEUE 대상?)으로 패킷을 전달하는 규칙
- 패킷 삭제 규칙
2와 3을 결합할 수도 있습니다.
내 이해는 tcpdump가 패킷을 확인하기 때문에 이 작업을 수행하지 못할 수도 있다는 것입니다.앞으로따라서 iptables는 삭제된 패킷만 기록하지 않습니다.
감사해요.
답변1
NFLOG 목표는 이러한 목적으로 사용될 수 있습니다. 다음은 매우 기본적인 예입니다.
# Drop traffic by default
iptables -P INPUT DROP
# add your whitelists here
# iptables -A INPUT ...
# Pass the packets to NFLOG (just like LOG, but instead of syslog,
# it uses netlink). You can add extra filters such as '-p tcp' as usual
iptables -A INPUT -j NFLOG
# packets that get here will now be dropped per INPUT policy
# Finally you can use tcpdump to capture from this interface (there
# can only be one active user of nflog AFAIK)
tcpdump -i nflog ...
iptables-extensions대상에 대한 설명은 매뉴얼 페이지를 참조하십시오 NFLOG.