URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 67561
[ Назад ]

Исходное сообщение
"iptables check packet destiny"

Отправлено NetKnight , 13-Июл-06 16:36 
Скажите, а как можно узнать в каком правиле застрянет пакет? Тоесть я хочу провести ряд тестов на своём файрволе и узнать какие пакеты в каких правилах застрянут? Желательно, чтоб сами правила трогать не приходилось.

И ещё вопрос, есть какие-нибудь анализаторы логов, которые пишутся при помощи -j LOG? Глаза сломать можно читая их, хотелось бы в более удобочитаемый вид это конвертить, причём чтоб можно было их как-то сгрупировать ввиде разных статистических отчётов.


Содержание

Сообщения в этом обсуждении
"iptables check packet destiny"
Отправлено perece , 13-Июл-06 16:57 
>Скажите, а как можно узнать в каком правиле застрянет пакет? Тоесть я
>хочу провести ряд тестов на своём файрволе и узнать какие пакеты
>в каких правилах застрянут? Желательно, чтоб сами правила трогать не приходилось.
маловероятно. iptables - stateful firewall, в отличии от того же ipchains, потому -T и убрали. Т.е. один и тот же пакет может ппройти или застрять, или застрять в том или другом месте в зависимости от состояния системы - прежде всего это касается ip_conntrack. если в твоем конкретном случае все правила stateless, то можешь использовать forged-пакеты - "пробы", и следить по счетчикам в цепочках
короче, косвенными методами.
>
>И ещё вопрос, есть какие-нибудь анализаторы логов, которые пишутся при помощи -j
>LOG? Глаза сломать можно читая их, хотелось бы в более удобочитаемый
>вид это конвертить, причём чтоб можно было их как-то сгрупировать ввиде
>разных статистических отчётов.
man awk
(а также "sort | uniq -c | sort -rn" - очень полезная конструкция в анализаторах такого рода)