¿Cómo excluir el tráfico LAN con iptraf-ng?

8

Me gustaría usar iptraf-ngpara ver la cantidad de datos que mi máquina está enviando / recibiendo desde Internet, pero quiero excluir el tráfico en mi LAN ya que solo estoy interesado en los datos que van fuera del sitio.

He creado un filtro de la siguiente manera, pero cuando lo activo, iptraf-ngno muestra ningún tráfico.

  • Dirección IP origen: 192.168.0.0
  • Máscara comodín de origen: 255.255.255.255
  • Dirección IP de destino: 192.168.0.0
  • Máscara comodín de destino: 255.255.255.255
  • Protocolos: All IP, TCP, UDP, ICMP(valores reales armar o desarmar ninguna diferencia)
  • Incluir / excluir: E(si lo cambio a Ino hay diferencia)
  • Partido opuesto: N(si lo cambio a Yno hay diferencia)

Esto me hace pensar que los filtros están completamente rotos o que realmente no entiendo cómo funcionan.

¿Cómo debo crear un iptraf-ngfiltro que excluya todo el tráfico donde están las IP de origen y de destino en 192.168.0.0/24?

Malvinoso
fuente
1
Si no eres particular en el uso de iptraf-ng, puedes mirar iftop. Herramienta asombrosa Si es una máquina RHEL / Fedora, está disponible en el repositorio de epel. Usa el iftopcomando después de a yum install iftopy te encantará :).
Citylight
@Sree: estoy ejecutando Arch y ya lo he iftopinstalado, pero tampoco puedo ver cómo filtrar el tráfico LAN. Toda la pantalla se obstruye con todo el tráfico LAN de alto ancho de banda y no puedo ver qué tráfico mucho más pequeño sale de la red. ¿Cómo se filtra el tráfico LAN iftop?
Malvineous
@Filtros de suministro malvados en la línea de comando. Por ejemplo, iftop -f "not dst port 22 and not src port 22"para excluir todo el tráfico SSH. Busque la "sintaxis pcap" para conocer las especificaciones de la sintaxis de filtrado.
AronVanAmmers

Respuestas:

12

Deben tenerse en cuenta dos cosas:

  • "Combinar opuesto" no significa "invertir el sentido del filtro". Lo que significa es "Hacer coincidir el tráfico entrante y saliente para los hosts / puertos en el filtro".
  • Una vez que hay un filtro en su lugar, se descarta cualquier paquete que no coincida con el filtro. Por lo tanto, si usa un filtro de exclusión, es importante completarlo con una regla de "aceptar todo", de lo contrario, ¡nada coincide!

Con eso en mente, la forma de definir un filtro para excluir LAN es:

  • Crea un filtro, dale un nombre. Cuando llegue a la pantalla para agregar filtro, agregue lo siguiente:

    • Dirección IP: 192.168.0.0
    • Máscara comodín: 255.255.0.0
    • Omita el rango de puertos y la IP / comodín / puerto de destino
    • Ponga Y en "Todo IP"
    • Ponga E en "Incluir / Excluir"
    • Ponga Y en "Combinar opuesto"
  • Presione enterpara agregar esta regla al filtro, luego apara agregar otra regla:

    • Omitir todos los campos de dirección
    • Ponga Y en "Todo IP"
    • Poner I en "Incluir / Excluir"
    • Poner N en "Match opuesto"

    Esta es la regla de "permitir todo". Presione enterpara aceptarlo.

  • De vuelta en la pantalla del filtro, presione xpara salir. Seleccione "Aplicar filtro ..." en el menú y aplique el nuevo filtro que ha creado.

Ahora tiene un filtro que acepta todo, excepto el tráfico que entra o sale de la LAN.

(En mi caso, lo usé para filtrar el puerto 22, ya que me estaba conectando a la máquina que quería verificar a través de ssh, y la iptrafsalida en sí estaba causando la mayor parte del tráfico porque estaba pasando por ssh).

RealSkeptic
fuente
WTF, muchas gracias, esto ayudó. Dos pistas a mi lado: Put Y in "All IP"- Lo dejé vacío en la segunda regla, por lo tanto, no coincide con nada. Y luego tuve que eliminar la regla de inclusión (segunda regla) nuevamente, porque la "inserté", así que fue al principio. Parece que no hay forma de mover las reglas para reordenar de modo que la segunda regla sea la segunda .
Tino