如何使用iptraf-ng排除局域网流量?


8

我想iptraf-ng查看我的计算机正在从Internet发送/接收多少数据,但是我想排除LAN上的流量,因为我只对场外数据感兴趣。

我创建了一个过滤器,如下所示,但是当我激活它时,iptraf-ng根本没有显示任何流量!

  • 源IP地址: 192.168.0.0
  • 源通配符掩码: 255.255.255.255
  • 目的IP地址: 192.168.0.0
  • 目标通配符掩码: 255.255.255.255
  • 协议:All IPTCPUDPICMP(实际值设置或取消有什么区别)
  • 包含/排除:(E如果我将其更改I为没有区别)
  • 对面匹配:(N如果我将其更改Y为没有区别)

这使我认为过滤器已完全损坏,或者我真的误会了它们的工作原理。

我应该如何创建一个iptraf-ng过滤器,以将源IP和目标IP都在192.168.0.0/24中的所有流量排除在外?


1
如果您不特别喜欢使用iptraf-ng,可以查看iftop。很棒的工具。如果是RHEL / Fedora计算机,则可以在epel存储库中找到。iftop在a之后使用命令yum install iftop,您将爱上它:)。
Citylight

@Sree:我正在运行Arch,并且已经iftop安装了,但是我也看不到如何过滤掉LAN流量。整个显示画面都被所有高带宽LAN流量所阻塞,然后我看不到有多少较小的流量离开网络。如何过滤局域网流量iftop
Malvineous

@命令行上的恶意供应过滤器。例如iftop -f "not dst port 22 and not src port 22",排除所有SSH流量。搜索“ pcap语法”以获取过滤语法的规范。
AronVanAmmers

Answers:


12

应该注意两件事:

  • “相配”并不意味着“颠倒过滤器的意义”。这意味着“为筛选器中的主机/端口同时匹配传入和传出流量”。
  • 过滤器到位后,所有与过滤器不匹配的数据包都将被丢弃。因此,如果您使用排除过滤器,请务必使用“全部接受”规则来完成该过滤器,否则,将没有任何匹配项!

考虑到这一点,定义过滤器以排除局域网的方法是:

  • 创建一个过滤器,为其命名。当您进入添加过滤器的屏幕时,请添加以下内容:

    • IP地址:192.168.0.0
    • 通配符掩码:255.255.0.0
    • 跳过端口范围和目标IP /通配符/端口
    • 将Y放入“所有IP”
    • 将E放入“包含/排除”
    • 将Y放入“与之相对”
  • enter将此规则添加到过滤器中,然后a添加另一个规则:

    • 跳过所有地址字段
    • 将Y放入“所有IP”
    • 将我置于“包含/排除”
    • 将N放入“与之相对”

    这是“允许所有”规则。按enter接受它。

  • 返回过滤器屏幕,按x退出。从菜单中选择“应用过滤器...”,然后应用您创建的新过滤器。

现在,您将拥有一个接受所有内容的过滤器-除了来自LAN或来自LAN的流量。

(在我的情况下,当我通过ssh连接到要检查的机器时,我用它过滤了端口22,并且iptraf输出本身引起了大部分流量,因为它正在通过ssh)。


WTF,非常感谢,这有所帮助。我身边有两条线索: Put Y in "All IP"-我在第二条规则中将其留空,因此没有任何匹配。然后,我不得不再次删除include-rule(第二条规则),因为我“插入”了它,因此它到达了顶部。似乎没有办法将规则重新排序,使第二条规则成为2nd
蒂诺
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.