Bagaimana cara mengecualikan lalu lintas LAN dengan iptraf-ng?


8

Saya ingin menggunakan iptraf-nguntuk melihat berapa banyak data mesin saya mengirim / menerima dari Internet, tetapi saya ingin mengecualikan lalu lintas di LAN saya karena saya hanya tertarik pada data yang keluar-situs.

Saya telah membuat filter sebagai berikut, tetapi ketika saya mengaktifkannya, iptraf-ngtidak menunjukkan lalu lintas sama sekali!

  • Sumber alamat IP: 192.168.0.0
  • Sumber wildcard mask: 255.255.255.255
  • Alamat IP tujuan: 192.168.0.0
  • Masker wildcard tujuan: 255.255.255.255
  • Protokol: All IP, TCP, UDP, ICMP(nilai yang sebenarnya diatur atau tidak diset make ada perbedaan)
  • Sertakan / kecualikan: E(jika saya mengubahnya ke Itidak ada perbedaan)
  • Cocokkan sebaliknya: N(jika saya mengubahnya ke Ytidak ada perbedaan)

Ini membuat saya berpikir bahwa filternya benar-benar rusak, atau saya benar-benar salah paham bagaimana cara kerjanya.

Bagaimana cara membuat iptraf-ngfilter yang mengecualikan semua lalu lintas di mana IP sumber dan tujuan berada di 192.168.0.0/24?


1
Jika Anda tidak khusus menggunakan iptraf-ng, Anda dapat melihatnya iftop. Alat luar biasa. Jika ini mesin RHEL / Fedora, ini tersedia di repositori epel. Gunakan iftopperintah setelah a yum install iftopdan Anda akan menyukainya :).
Citylight

@Sree: Saya menjalankan Arch dan sudah iftopmenginstal, tetapi saya juga tidak bisa melihat bagaimana cara menyaring lalu lintas LAN. Seluruh tampilan akan tersumbat dengan semua lalu lintas LAN bandwidth tinggi dan saya tidak dapat melihat lalu lintas apa yang jauh lebih kecil meninggalkan jaringan. Bagaimana Anda menyaring lalu lintas LAN iftop?
Malvineous

@Malvineous menyaring filter pada baris perintah. Misalnya iftop -f "not dst port 22 and not src port 22"untuk mengecualikan semua lalu lintas SSH. Cari "sintaks pcap" untuk spesifikasi sintaks pemfilteran.
AronVanAmmers

Jawaban:


12

Dua hal yang harus diperhatikan:

  • "Cocokkan lawan" tidak berarti "membalikkan arti filter". Artinya adalah "Sesuaikan lalu lintas masuk dan keluar untuk host / port di filter".
  • Setelah ada filter, paket apa pun yang tidak cocok dengan filter akan dibuang. Jadi jika Anda menggunakan filter pengecualian, penting untuk melengkapinya dengan aturan "terima semua", jika tidak, tidak ada yang cocok!

Dengan mengingat hal itu, cara mendefinisikan filter untuk mengecualikan LAN adalah:

  • Buat filter, beri nama. Saat Anda masuk ke layar untuk menambahkan filter, tambahkan berikut ini:

    • Alamat IP: 192.168.0.0
    • Topeng wildcard: 255.255.0.0
    • Lewati kisaran port dan IP tujuan / wildcard / port
    • Masukkan Y di "All IP"
    • Masukkan E dalam "Sertakan / Kecualikan"
    • Masukkan Y di "Cocokkan lawan"
  • Tekan enteruntuk menambahkan aturan ini ke filter, lalu auntuk menambahkan aturan lain:

    • Lewati semua bidang alamat
    • Masukkan Y di "All IP"
    • Masukkan saya ke "Sertakan / Kecualikan"
    • Masukkan N di "Cocokkan lawan"

    Ini adalah aturan "izinkan semua". Tekan enteruntuk menerimanya.

  • Kembali ke layar filter, tekan xuntuk keluar. Pilih "Terapkan filter ..." dari menu dan terapkan filter baru yang telah Anda buat.

Anda sekarang memiliki filter yang menerima segalanya - kecuali lalu lintas yang datang atau pergi dari LAN.

(Dalam kasus saya, saya menggunakannya untuk memfilter port 22, karena saya menghubungkan ke mesin yang ingin saya periksa melalui ssh, dan iptrafoutput itu sendiri yang menyebabkan sebagian besar lalu lintas karena sedang melalui ssh).


WTF, terima kasih banyak, ini membantu. Dua Petunjuk di pihak saya: Put Y in "All IP"- Saya membiarkannya kosong pada aturan ke-2, karenanya tidak cocok dengan apa pun. Dan kemudian saya harus menghapus include-rule (2nd rule) lagi, karena saya "menyisipkan" ed, jadi ia pergi ke atas. Tampaknya tidak ada cara untuk memindahkan aturan untuk menyusun ulang sehingga aturan ke-2 adalah ke-2 .
Tino
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.