ComputerBase Menü
Aktuelles

Netfilter: Counter für NAT Pakete

Blutschlumpf

Blutschlumpf

Fleet Admiral
Registriert
März 2001
Beiträge
20.050
Moin moin,

ich versuche gerade nach 18 Jahren iptables den Sprung auf nft.
Dabei ist mir aufgefallen, dass die Counter in der nat-table nicht den Erwartungen entsprechen.

Gibts ne Möglichkeit Verbindungen mit SNAT/DNAT sinnvoll zu counten?
Die Counter in der PREROUTING/POSTROUTING Chain zählen nur eine handvoll Pakete, scheint als ob alles was einmal im Connection-Tracker drin ist nur noch in der forward-chain landet (da "funktionieren" die Counter).
 
Dann müsste ich je nach Konstellation aber zu viele oder gar keine Hits haben.
Da ich in der chain nur eine rule habe, ist das recht überschaubar.

Mal ein Beispiel:
Ich resette alles, und pinge 10 mal von der 192.168.10.2 eine externe IP an.
Ergebnis:
Code: 
table inet filter {
        chain input {
                type filter hook input priority 0; policy accept;
                counter packets 176 bytes 30228
        }

        chain forward {
                type filter hook forward priority 0; policy accept;
                iif "ens160" oif "ens192" counter packets 10 bytes 600
                oif "ens160" iif "ens192" counter packets 10 bytes 600
                counter packets 165 bytes 32978
        }

        chain output {
                type filter hook output priority 0; policy accept;
                counter packets 187 bytes 34996
        }
}
table ip nat {
        chain postrouting {
                type nat hook postrouting priority 100; policy accept;
                counter packets 1 bytes 60
                ip saddr 192.168.10.2 oif "ens160" counter packets 1 bytes 60 snat to x.x.x.x
        }
}
In der NAT-Table hittet nur das erste Paket, in der filter.forward Chain sehe ich alle Pakete incl. Antwort.
x.x.x.x ist die externe IP, ens160 externes Interface, ens192 internes Interface.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

C
iptables: Internet-Traffic durch Proxy leiten, LAN-Traffic auf anderes Interface
Antworten
5
Aufrufe
1.831
till69
T
WeichtierCC
lxc Container haben vermutlich kein Internet
Antworten
0
Aufrufe
1.325
WeichtierCC
WeichtierCC
L
iptables NAT Konfiguration, fehlt sourceNAT?
Antworten
3
Aufrufe
713
lordg2009
L
uhrzeit
IPTABLES - NAT Router, Bestimmte Ports an anderes GW weiterleiten
Antworten
2
Aufrufe
4.185
uhrzeit
uhrzeit
L
Verständnisprobleme mit NAT
Antworten
3
Aufrufe
1.260
lordg2009
L

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz