iptables+iptables_netflow: iptables阻止网流导出?
我正在OpenSuSE 11.3上运行iptables防火墙--最近我对流量监控和计费产生了兴趣,并为此在防火墙上安装了iptables_netflow模块,并在另一台服务器上安装了WANGuard平台。iptables_netflow模块是构建、安装和聚合数据的;我可以在/proc/slabinfo和/proc/net/stat/ipt_netflow中看到统计数据的变化。WANGuard被配置并工作,因为我让WANGuard将netflow数据导出到其中一段时间,以确保其工作正常。但是,我无法从防火墙导出到WANGuard服务器。我的iptables配置会阻止它吗?iptables_netflow在UDP端口2055上导出。iptables -L -n的输出(在防火墙上)
Chain INPUT (policy ACCEPT)
target prot opt source destination
NETFLOW all -- 0.0.0.0/0 0.0.0.0/0 NETFLOW
FW-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target prot opt source destination
NETFLOW all -- 0.0.0.0/0 0.0.0.0/0 NETFLOW
ACCEPT all -- 192.168.3.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
NETFLOW all -- 0.0.0.0/0 0.0.0.0/0 NETFLOW
Chain FW-1-INPUT (1 references)
target prot opt source destination
NETFLOW all -- 0.0.0.0/0 0.0.0.0/0 NETFLOW
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT udp -- 192.168.3.0/24 0.0.0.0/0 udp dpt:161
ACCEPT tcp -- 192.168.3.0/24 0.0.0.0/0 tcp dpt:161
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:7788
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:694
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:68
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1194
ACCEPT tcp -- xx.xx.xx.xx 0.0.0.0/0 tcp dpt:5666
ACCEPT tcp -- xx.xx.xx.xx 0.0.0.0/0 tcp dpt:5666
ACCEPT udp -- xx.xx.xx.xx 0.0.0.0/0 udp dpt:123
ACCEPT udp -- xx.xx.xx.xx 0.0.0.0/0 udp dpt:123
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp multiport dports 4569,5060
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp multiport dports 4569,5060
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 我尝试了输出表中的几条规则,指定了源/目标主机&端口,但没有成功。
在WANGuard服务器上没有iptables规则。
在防火墙上使用tcpdump并为WANGuard服务器的IP使用grep‘’ing
openvpn01:/home/gjones # tcpdump -i eth0 |grep 192.168.3.194
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
13:27:57.103687 IP openvpn01.dev.59531 > 192.168.3.194.iop: UDP, length 1464
13:27:57.302686 IP openvpn01.dev.59531 > 192.168.3.194.iop: UDP, length 1464
13:27:57.802683 IP openvpn01.dev.59531 > 192.168.3.194.iop: UDP, length 1464
13:27:58.503707 IP openvpn01.dev.59531 > 192.168.3.194.iop: UDP, length 1464
13:27:59.103688 IP openvpn01.dev.59531 > 192.168.3.194.iop: UDP, length 1464在防火墙上,我运行"netstat -na“并查找"2055”( netflow目的地端口)。
udp 0 0 192.168.3.112:59531 192.168.3.194:2055 ESTABLISHED在WANGuard服务器上,我也这样做:
# netstat -na |grep 2055
udp 0 0 192.168.3.194:51139 192.168.3.194:2055 ESTABLISHED
udp 0 0 192.168.3.194:2055 0.0.0.0:*根据Gaumire的要求,这里还有"netstat -uan“。
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
udp 0 0 192.168.3.194:51139 192.168.3.194:2055 ESTABLISHED
udp 0 0 192.168.3.194:2055 0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 192.168.3.194:123 0.0.0.0:*
udp 0 0 127.0.0.2:123 0.0.0.0:*
udp 0 0 127.0.0.1:123 0.0.0.0:*
udp 0 0 0.0.0.0:123 0.0.0.0:*
udp 0 0 0.0.0.0:161 0.0.0.0:*
udp 0 0 0.0.0.0:631 0.0.0.0:*
udp 0 0 0.0.0.0:851 0.0.0.0:*
udp 0 0 :::111 :::*
udp 0 0 ::1:123 :::*
udp 0 0 fe80::2a0:d1ff:fee1:123 :::*
udp 0 0 :::123 :::*
udp 0 0 :::851 :::*请注意,我还在WANGuard服务器上配置了一个netflow导出程序,这似乎是可行的(我在WANGuard中获取数据)。
检查WANGuard的日志,我看到错误“意外的PDU: src_ip=192.168.3.112未配置”,谷歌没有出现任何我能找到的东西。
有人能帮我找出错误的所在吗?
谢谢,
肯德尔
回答 2
Server Fault用户
发布于 2011-11-02 16:35:15
openvpn01.dev与主机192.168.3.194之间是否存在防火墙或类似设备??一张图表会有帮助。如果iptables输出是wanguard服务器的,则您的策略将被设置为接受,因此它们不应该是问题所在。
是您提到的在服务器上运行的服务。请以root用户的身份发出以下命令。
#netstat -tupan | grep 'LIST\|*'Server Fault用户
发布于 2013-09-28 07:24:01
要检查iptables配置是否阻塞,通常建议临时禁用iptables (当然,NETFLOW规则除外)。还可以检查dmesg,因为可能有重要的内核/模块消息。在接口打开后,旧版本的NETFLOW模块应该设置sysctl net.netflow.destination。尝试手动设置目标以检查该目标。或者尝试来自git回购的模块的最新版本(而不是来自tar.gz)。使用cat /proc/net/stat/ipt_netflow检查模块统计信息,以查看已删除的流或套接字错误。
https://serverfault.com/questions/327099
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号