工作中的问题，IPTABLE旁路监听数据包

ljcai123

近日突发奇想，想查一查网络中各种应用的总体状况，同时区分一下BT类软件数据包与病毒数据包，就整了台电脑在网关处做旁路监听，想用IPTABLE+l7filter把听到的包分类记下来，实行中出了个问题如下：

软件：Debian3.1+Kernel2.6.14+iptables1.3.3+相应的l7-filter补丁
网络图
                              外网
                                |
                               HUB───监控机（单网卡）
                                |
                              防火墙
                                |
                               内网
IPtable策略文件
debian:/etc/init.d# more upeth.l7firewall
#!/bin/bash
#
#  Configuration options.
#
#
#
LAN_IP="10.16.0.90"
LAN_IP_RANGE="10.16.0.0/24"
LAN_IFACE="eth0"
LAN_NETMASK="255.255.255.0"
#
#
LO_IFACE="lo"
LO_IP="127.0.0.1"

#
# IPTables Configuration.
#
IPTABLES="/usr/local/sbin/iptables"
IFCONFIG="/sbin/ifconfig"


#
#interfaces setup
#
$IFCONFIG $LAN_IFACE $LAN_IP netmask $LAN_NETMASK

#
#
#
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/conf/eth0/proxy_arp
#
###########################################################################
#
#  rules set up.
#
######
#  Filter table
#
# set the default policies in the nat table.
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X

#
# Set policies
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

$IPTABLES -A INPUT  -j ACCEPT
$IPTABLES -t mangle -A PREROUTING  -m layer7 --l7proto http -j LOG --log-level INFO --log-prefix "HTTP PACKET "
$IPTABLES -t mangle -A PREROUTING -m layer7 --l7proto bittorrent -j LOG --log-level INFO --log-prefix "Bittorrent PACKET "
$IPTABLES -A OUTPUT -j DROP

问题：装好后，日志记录中有目的地址是本机的数据包和广播包，但没有其它的包，用tcpdump可看到其它的包，如何才能记录其它数据包？
另：LOG规则在别的表（如raw表中的PREROUTING、filter表中的PREROUTING）中也加过，也不成功

[ 本帖最后由 ljcai123 于 2005-12-28 11:43 编辑 ]

河里的鱼

HUB的地方不对啊,这样拿到很多无用的包

独孤九贱

1、HUB放在防火墙内吧？
2、防火墙不带日志监控分析功能？不会吧？
3、用iptables这方面还不如用snort，甚至在Win下边用Sniffer Pro

skylove

对了,请教一下,iptables是在混杂方式下抓包的???还是非混杂下??? 或者说只要设置了混杂方式后,iptables抓到的包就不同...顺路进来问问

独孤九贱

原帖由 skylove 于 2005-12-28 17:22 发表
对了,请教一下,iptables是在混杂方式下抓包的???还是非混杂下??? 或者说只要设置了混杂方式后,iptables抓到的包就不同...顺路进来问问

这个跟iptables没有关系吧？我记得好像前几天讨论过这个问题，只有进入Linux网络堆栈的数据，Netfilter才能拿到。所以，需要把网卡设为混合模式，才能让所有的数据包进入堆栈，否则，只有发往本机或广播等包进入本机！

skylove

恩,我要的就是这个答复,因为楼主出现抓不到其他包的情况就是网卡没能设置成混杂模式呢

前几天的讨论帖子木有看到....

河里的鱼

关键在于网卡

感觉和这个没有关系,但是不会讲,哈哈,又从九贱这里学到东西了

独孤九贱

原帖由 skylove 于 2005-12-28 17:28 发表
恩,我要的就是这个答复,因为楼主出现抓不到其他包的情况就是网卡没能设置成混杂模式呢

前几天的讨论帖子木有看到....

我是搞不懂，它想分析网络日志，为什么用iptables？好像这个可不是iptables的强项……呵呵，不知是不是还要装一个iptables的日志分析插件……

skylove

原帖由 独孤九贱 于 2005-12-28 17:31 发表


我是搞不懂，它想分析网络日志，为什么用iptables？好像这个可不是iptables的强项……呵呵，不知是不是还要装一个iptables的日志分析插件……

万一是只想抓web的状态,又懒得编译安装snort之类的呢??? 比如我有时候就可以懒惰到这样的程度...但是,他有装tcpdump,至少用tcpdump抓了存放保存,再写个shell处理也方便一些嘛....这个就搞不懂得了...

platinum

原帖由 独孤九贱 于 2005-12-28 17:26 发表


这个跟iptables没有关系吧？我记得好像前几天讨论过这个问题，只有进入Linux网络堆栈的数据，Netfilter才能拿到。所以，需要把网卡设为混合模式，才能让所有的数据包进入堆栈，否则，只有发往本机或广播等包进 ...

受教了