stefankittel
26.03.2018
view1640
view4
0
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

Datenmonitoring nat bei iptables

FrageLinuxLinux Netzwerk
Hallo,

ich habe hier einen Proxy der mit iptable und NAT funktioniert.
Der Server läuft unter Ubuntu 16.04. LTS. Die Zugriffssteuerung erfolgt über ein Webinterface mit angepassten Shell-Zugriff.

Jetzt möchte ich gerne wissen über welchen NAT hier wieviel Traffic läuft.
Ich bin frei auf dem Server was Software und Zugriffe angeht.

iptables -n -t nat -vL zeigt mir die Regeln.
Leider sind die bytes zähler aber "leer".

Chain PREROUTING (policy ACCEPT 3 packets, 144 bytes)
 pkts bytes target     prot opt in     out     source               destination
    3   156 DNAT       tcp  --  *      *       XXX       XXX       XXX
    2   104 DNAT       tcp  --  *      *       XXX       XXX       XXX
    5   260 DNAT       tcp  --  *      *       XXX       XXX       XXX
    3   156 DNAT       tcp  --  *      *       XXX       XXX       XXX
    2   100 DNAT       tcp  --  *      *       XXX       XXX       XXX
    0     0 DNAT       tcp  --  *      *       XXX       XXX       XXX

Chain INPUT (policy ACCEPT 3 packets, 144 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 24 packets, 1724 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 24 packets, 1724 bytes)
 pkts bytes target     prot opt in     out     source               destination
    3   156 SNAT       tcp  --  *      *       0.0.0.0/0            XXX       XXX
    2   104 SNAT       tcp  --  *      *       0.0.0.0/0            XXX       XXX
    5   260 SNAT       tcp  --  *      *       0.0.0.0/0            XXX       XXX
    3   156 SNAT       tcp  --  *      *       0.0.0.0/0            XXX       XXX
    2   100 SNAT       tcp  --  *      *       0.0.0.0/0            XXX       XXX
    0     0 SNAT       tcp  --  *      *       0.0.0.0/0            XXX       XXX

iptables -L -v -n zeigt mit die Werte, aber ohne NAT zuordnung

Chain INPUT (policy ACCEPT 55817 packets, 6202K bytes)
 pkts bytes target     prot opt in     out     source               destination
  948 59148 f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 12345

Chain FORWARD (policy ACCEPT 754K packets, 313M bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 49036 packets, 39M bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain f2b-sshd (1 references)
 pkts bytes target     prot opt in     out     source               destination
  948 59148 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Kann mir Jemand sagen wie ich an die Werte pro NAT-Regel komme?

Danke

Stefan
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 369278

Url: https://administrator.de/forum/datenmonitoring-nat-bei-iptables-369278.html

Ausgedruckt am: 29.04.2025 um 19:04 Uhr

4 Kommentare
Neuester Kommentar
Goto Top
aqui
aqui 26.03.2018 um 20:43:30 Uhr
Goto Top
Eigentlich hast du alles richtig gemacht:
http://www.microhowto.info/troubleshooting/troubleshooting_iptables.htm ...
brammer
brammer 27.03.2018 um 08:12:13 Uhr
Goto Top
Hallo,

nat:
This table is consulted when a packet that creates a new connection is encountered.

Quelle: http://ipset.netfilter.org/iptables.man.html

Die Option NAT greift nach der Formulierung aber nur bei neuen Verbindungen... nicht bereits bei bestehenden....
Wenn du einmal "iptables -n -t nat -vL" aufrufst und dann einen ping startest und dann den Befehl ein 2. mal aufrufst bleibt dann der Counter auch auf 0?

brammer
StefanKittel
StefanKittel 27.03.2018 um 08:41:33 Uhr
Goto Top
Moin,

Be aware that the nat table is traversed only by the first packet of each connection. The example above is unusual because every outbound packet is considered to be part of a separate connection. For TCP-based protocols you would typically see only a small fraction of the total traffic in the nat table counters.

ich habs geahnt.
Leider handelt es sich hier ausschlieslich um RDP-Verbindungen.
Ich sehe hier also nur den Verbindungsaufbau und nicht den Traffic.

If more detail is needed then the LOG target can be used to record packets in the system log.

Ich werde wohl log-filter verwenden müssen um den Traffic zu zählen.
Die Beispiel in dem Link sind für ICMP. Ich müßte dies aber für TCP mit bekannter IP und Port machen.
Ich schaue mal was ich so finde.

Oder hat Jemand ein "fertiges" Beispiel zum anschauen?

Stefan
135799
135799 27.03.2018 aktualisiert um 09:43:08 Uhr
Goto Top
Im Link von @aqui steht doch wie du es machen musst, lege einfach Regeln ohne Jump an die deinen jeweiligen Zielhost und Port in der Forward-Chain matcht, dessen Zähler wertest du dann aus.

To achieve this you may need to insert rules purely for the purpose of counting packets. iptables does not have a ‘no operation’ target as such, but you can achieve the same effect by inserting a rule without a target. For example, the following would count the number of ICMP packets to or from the test machine in the scenario above as they enter the FORWARD chain:

iptables -t filter -I FORWARD 1 -p icmp -s 192.168.0.2
iptables -t filter -I FORWARD 2 -p icmp -d 192.168.0.2
Denn alle DSTNAT-Packets passieren ja anschließend immer die Forward-Chain.

Schnuffi
FrageLinuxLinux Netzwerk
Mehr von StefanKittelStefanKittelMail-Server mit IPv6 sind kein Standard?StefanKittel - 26 KommentareStefanKittelSMTP Relay gesuchtStefanKittel - 18 KommentareStefanKittelEin Maillink in einer Mail in O365 Classic führt zu New Outlook?StefanKittel - 11 KommentareStefanKittelKeine hilfreiche Fehlermeldung bei SSL Verbindung wenn die CRL expired ist?StefanKittel - 3 Kommentare
Heiß diskutiert
Surfer12Neue Telefonanlage konventionell oder IPSurfer12 - 28 Kommentareopc123Kostenloser Hypervisoropc123 - 28 KommentareStefanKittelMail-Server mit IPv6 sind kein Standard?StefanKittel - 26 KommentareYan2021Mauszeiger springt während Backup od. Programm-Installation etcYan2021 - 24 Kommentarebloodstix2560x1080 Auflösung komischer Rand bei Spielenbloodstix - 21 KommentareStefanKittelSMTP Relay gesuchtStefanKittel - 18 KommentareLordReaperRDP Sessions trennen sich 1-2x täglichLordReaper - 17 KommentarespinnifexMein Explorer bringt mich zum Wahnsinn (Einstellungen merken)spinnifex - 14 KommentarekeineahnungcomputerProfi Notebook CAD Autocadkeineahnungcomputer - 13 KommentarekreuzbergerMB pro min und MB pro s umrechnenkreuzberger - 13 KommentareTwistedAirNetzwerkgeräte bei Ransomware - Austausch oder Reset?TwistedAir - 12 KommentarekreuzbergerRDP auf dem iPadkreuzberger - 11 KommentareKauzigUser wird immer mit Temporären Profil angemeldetKauzig - 11 Kommentare