iptables는 다음과 같습니다.
# iptables -t filter -nvL
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
1 328 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED
0 0 LOGGING all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
487 49868 LOGGING all -- * * 0.0.0.0/0 0.0.0.0/0
Chain LOGGING (2 references)
pkts bytes target prot opt in out source destination
39 9426 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/min burst 5 LOG flags 0 level 4 prefix `IPTables-Dropped: '
487 49868 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
INPUT 및 OUTPUT 체인에서 삭제된 패킷 수가 증가하고 있습니다. 삭제된 패킷의 내용을 볼 수 있는 방법이 있습니까? tcpdump를 해결하려고 시도했지만 이해할 수 없습니다. 누군가가 삭제된 패키지의 내용을 사람이 읽을 수 있는 형식으로 볼 수 있도록 구문, 올바른 명령 또는 도구를 도와줄 수 있습니까?
여기에서 삭제된 패킷은 클라이언트 체인 LOGGING 및 시스템 로그로 전송됩니다.
tail -f /var/log/messages
답변1
Tcpdump는 필터 이후에 실행되므로 들어오는 패킷이 삭제되는 것을 볼 수 없습니다.
규칙에 따라 패킷이 커널 로그에 기록됩니다. 이 LOG규칙을 사용하면 제목은 얻을 수 있지만 전체 내용은 얻을 수 없습니다. 전체 내용을 기록하려면 다음 LOG으로 바꾸고 ULOG(다른 옵션이 필요하며 Maybe를 제외한 옵션은 필요하지 않을 수도 있음 --ulog-prefix) 실행합니다.ulogd악마.