Datenmonitoring nat bei iptables
Hallo,
ich habe hier einen Proxy der mit iptable und NAT funktioniert.
Der Server läuft unter Ubuntu 16.04. LTS. Die Zugriffssteuerung erfolgt über ein Webinterface mit angepassten Shell-Zugriff.
Jetzt möchte ich gerne wissen über welchen NAT hier wieviel Traffic läuft.
Ich bin frei auf dem Server was Software und Zugriffe angeht.
iptables -n -t nat -vL zeigt mir die Regeln.
Leider sind die bytes zähler aber "leer".
iptables -L -v -n zeigt mit die Werte, aber ohne NAT zuordnung
Kann mir Jemand sagen wie ich an die Werte pro NAT-Regel komme?
Danke
Stefan
ich habe hier einen Proxy der mit iptable und NAT funktioniert.
Der Server läuft unter Ubuntu 16.04. LTS. Die Zugriffssteuerung erfolgt über ein Webinterface mit angepassten Shell-Zugriff.
Jetzt möchte ich gerne wissen über welchen NAT hier wieviel Traffic läuft.
Ich bin frei auf dem Server was Software und Zugriffe angeht.
iptables -n -t nat -vL zeigt mir die Regeln.
Leider sind die bytes zähler aber "leer".
Chain PREROUTING (policy ACCEPT 3 packets, 144 bytes)
pkts bytes target prot opt in out source destination
3 156 DNAT tcp -- * * XXX XXX XXX
2 104 DNAT tcp -- * * XXX XXX XXX
5 260 DNAT tcp -- * * XXX XXX XXX
3 156 DNAT tcp -- * * XXX XXX XXX
2 100 DNAT tcp -- * * XXX XXX XXX
0 0 DNAT tcp -- * * XXX XXX XXX
Chain INPUT (policy ACCEPT 3 packets, 144 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 24 packets, 1724 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 24 packets, 1724 bytes)
pkts bytes target prot opt in out source destination
3 156 SNAT tcp -- * * 0.0.0.0/0 XXX XXX
2 104 SNAT tcp -- * * 0.0.0.0/0 XXX XXX
5 260 SNAT tcp -- * * 0.0.0.0/0 XXX XXX
3 156 SNAT tcp -- * * 0.0.0.0/0 XXX XXX
2 100 SNAT tcp -- * * 0.0.0.0/0 XXX XXX
0 0 SNAT tcp -- * * 0.0.0.0/0 XXX XXX
iptables -L -v -n zeigt mit die Werte, aber ohne NAT zuordnung
Chain INPUT (policy ACCEPT 55817 packets, 6202K bytes)
pkts bytes target prot opt in out source destination
948 59148 f2b-sshd tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 12345
Chain FORWARD (policy ACCEPT 754K packets, 313M bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 49036 packets, 39M bytes)
pkts bytes target prot opt in out source destination
Chain f2b-sshd (1 references)
pkts bytes target prot opt in out source destination
948 59148 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Kann mir Jemand sagen wie ich an die Werte pro NAT-Regel komme?
Danke
Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 369278
Url: https://administrator.de/forum/datenmonitoring-nat-bei-iptables-369278.html
Ausgedruckt am: 05.04.2025 um 16:04 Uhr
4 Kommentare
Neuester Kommentar
Eigentlich hast du alles richtig gemacht:
http://www.microhowto.info/troubleshooting/troubleshooting_iptables.htm ...
http://www.microhowto.info/troubleshooting/troubleshooting_iptables.htm ...
Hallo,
Quelle: http://ipset.netfilter.org/iptables.man.html
Die Option NAT greift nach der Formulierung aber nur bei neuen Verbindungen... nicht bereits bei bestehenden....
Wenn du einmal "iptables -n -t nat -vL" aufrufst und dann einen ping startest und dann den Befehl ein 2. mal aufrufst bleibt dann der Counter auch auf 0?
brammer
nat:
This table is consulted when a packet that creates a new connection is encountered.
This table is consulted when a packet that creates a new connection is encountered.
Quelle: http://ipset.netfilter.org/iptables.man.html
Die Option NAT greift nach der Formulierung aber nur bei neuen Verbindungen... nicht bereits bei bestehenden....
Wenn du einmal "iptables -n -t nat -vL" aufrufst und dann einen ping startest und dann den Befehl ein 2. mal aufrufst bleibt dann der Counter auch auf 0?
brammer

Im Link von @aqui steht doch wie du es machen musst, lege einfach Regeln ohne Jump an die deinen jeweiligen Zielhost und Port in der Forward-Chain matcht, dessen Zähler wertest du dann aus.
Denn alle DSTNAT-Packets passieren ja anschließend immer die Forward-Chain.
Schnuffi
To achieve this you may need to insert rules purely for the purpose of counting packets. iptables does not have a ‘no operation’ target as such, but you can achieve the same effect by inserting a rule without a target. For example, the following would count the number of ICMP packets to or from the test machine in the scenario above as they enter the FORWARD chain:
iptables -t filter -I FORWARD 1 -p icmp -s 192.168.0.2
iptables -t filter -I FORWARD 2 -p icmp -d 192.168.0.2
Schnuffi