我正在尝试将 iptables 计数器与 munin 一起使用来监视本地子网上的主机流量。对于每个主机,我都设置了这样的规则:
iptables -I OUTPUT -d $ip
这应该计算从防火墙到 $ip 的数据包,对吗?
我发现这似乎没有计算所有数据包。我在我的路由器 (Linux) 上启动 tcpdump,我看到到 $ip 的数据包没有被计算在内。
例如,我检查我的电话 IP 规则的数据包数量。我启动 tcpdump,在我的手机上刷新 Gmail,我在 tcpdump 的输出中看到数据包,但 iptables 规则计数器没有增加。然后我在同一部手机上打开一个网页,计数器增加。
可能是什么原因?
该
OUTPUT
链由防火墙本身输出的数据包使用。您要使用的链是
FORWARD
,由防火墙转发的数据包使用。