Come escludere il traffico LAN con iptraf-ng?

Vorrei utilizzare iptraf-ngper vedere quanti dati la mia macchina sta inviando / ricevendo da Internet, ma voglio escludere il traffico sulla mia LAN poiché sono interessato solo ai dati che vanno fuori sede.

Ho creato un filtro come segue, ma quando lo attivo, iptraf-ngnon mostra alcun traffico!

Indirizzo IP sorgente: 192.168.0.0
Maschera jolly sorgente: 255.255.255.255
Indirizzo IP di destinazione: 192.168.0.0
Maschera jolly di destinazione: 255.255.255.255
Protocolli: All IP, TCP, UDP, ICMP(valori effettivi impostato o meno non fa differenza)
Includi / escludi: E(se lo cambio in Inon c'è differenza)
Corrispondenza opposta: N(se lo cambio in Ynon c'è differenza)

Questo mi sta facendo pensare che o i filtri siano completamente rotti, o sto davvero fraintendendo il loro funzionamento.

Come devo creare un iptraf-ngfiltro che esclude tutto il traffico in cui sia l'IP di origine che quello di destinazione si trovano in 192.168.0.0/24?

networking bandwidth

— Malvineous
fonte

Se non sei specifico sull'uso di iptraf-ng, puoi dare un'occhiata iftop. Strumento incredibile. Se è una macchina RHEL / Fedora, è disponibile nel repository epel. Usa il iftopcomando dopo un yum install iftope lo adorerai :).

— Citylight,

@Sree: sto eseguendo Arch e ho già iftopinstallato, ma non riesco nemmeno a vedere come filtrare il traffico LAN. L'intero display si ostruisce con tutto il traffico LAN ad alta larghezza di banda e non riesco quindi a vedere quale traffico molto più piccolo sta lasciando la rete. Come filtrare il traffico LAN con iftop?

— Malvineous,

@ Filtri di alimentazione malvagi sulla riga di comando. Ad esempio iftop -f "not dst port 22 and not src port 22"per escludere tutto il traffico SSH. Cerca la "sintassi pcap" per le specifiche della sintassi del filtro.

— AronVanAmmers,

Due cose da notare:

"Abbina opposto" non significa "invertire il senso del filtro". Ciò significa che "Abbina sia il traffico in entrata che in uscita per gli host / le porte nel filtro".
Una volta installato un filtro, qualsiasi pacchetto che non corrisponde al filtro viene scartato. Quindi, se si utilizza un filtro di esclusione, è importante completarlo con una regola "accetta tutto", altrimenti non viene trovato nulla!

Tenendo presente ciò, il modo per definire un filtro per escludere la LAN è:

Crea un filtro, dagli un nome. Quando si arriva alla schermata per l'aggiunta del filtro, aggiungere quanto segue:
- Indirizzo IP: 192.168.0.0
- Maschera jolly: 255.255.0.0
- Salta l'intervallo di porte e l'IP / carattere jolly / porta di destinazione
- Inserisci Y in "Tutti gli IP"
- Inserisci E in "Includi / Escludi"
- Metti Y in "Abbina opposto"
Premere enterper aggiungere questa regola al filtro, quindi aper aggiungere un'altra regola:
- Salta tutti i campi dell'indirizzo
- Inserisci Y in "Tutti gli IP"
- Inserisci I in "Includi / Escludi"
- Inserisci N in "Abbina opposto"
Questa è la regola "consenti tutto". Premere enterper accettarlo.
Nella schermata del filtro, premi xper uscire. Seleziona "Applica filtro ..." dal menu e applica il nuovo filtro che hai creato.

Ora hai un filtro che accetta tutto, tranne il traffico proveniente o proveniente dalla LAN.

(Nel mio caso, l'ho usato per filtrare la porta 22, mentre mi connettevo alla macchina che volevo controllare tramite ssh e l' iptrafoutput stesso stava causando la maggior parte del traffico perché stava attraversando ssh).

— RealSkeptic
fonte

WTF, grazie mille, questo mi ha aiutato. Due indizi al mio fianco: Put Y in "All IP"- L'ho lasciato vuoto nella seconda regola, quindi non corrisponde a nulla. E poi ho dovuto cancellare di nuovo la regola include (seconda regola), perché l'ho "inserita" ed è andata in cima. Sembra che non ci sia modo di spostare le regole per riordinarle in modo tale che la seconda regola sia la seconda .

— Tino,