iptablesのOUTPUTチェーンでドロップされたパケットの内容を表示する方法

iptablesのOUTPUTチェーンでドロップされたパケットの内容を表示する方法

iptablesは次のとおりです。

# iptables -t filter -nvL
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    1   328 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW,ESTABLISHED 
    0     0 LOGGING    all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
  487 49868 LOGGING    all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain LOGGING (2 references)
 pkts bytes target     prot opt in     out     source               destination         
   39  9426 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 2/min burst 5 LOG flags 0 level 4 prefix `IPTables-Dropped: ' 
  487 49868 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

INPUTおよびOUTPUTチェーンで廃棄されたパケット数が増加しています。ドロップされたパケットの内容を見る方法はありますか? tcpdumpを解決しようとしましたが、理解できませんでした。誰かが削除されたパッケージの内容を人間が読める形式で表示できるように、構文、正しいコマンド、またはツールを助けることができますか?

ここで破棄されたパケットは、クライアントチェーンLOGGINGとシステムログに送信されます。

 tail -f /var/log/messages

答え1

Tcpdump はフィルタの後に実行されるため、着信パケットが破棄されるのを見ることはできません。

規則に従って、パケットはカーネルログに書き込まれます。このLOGルールを使用すると、タイトルは取得できますが、内容全体は取得できません。内容全体を記録するには、次のようLOGに置き換えてULOG(他のオプションが必要で、Maybe以外のオプションは必要ない場合があります--ulog-prefix)、実行します。ulogd悪魔。

関連情報