Сетевой шлюз не видит трафик для мониторинга

Question

Сетевой шлюз не видит трафик для мониторинга

Я только что настроил новый компьютер CentOS 6.4, который будет использоваться в качестве шлюза по умолчанию для локальной сети в головном офисе. Его основная задача - просто направить трафик в соответствующее место, то есть VPN-серверы или сервер брандмауэра. Это работает.

Однако мы хотим отслеживать трафик, проходящий через эту машину. Итак, я установил

ntopng и видит только несколько МБ трафика вместо ГБ, так что я удалил это
и надеть старый ntop, и он делает то же самое
попробовал iptraf и думаю что трафик тоже не видит
попытался создать некоторые правила принятия iptables и команду: iptables --list -v -n --line-numbers, и он по-прежнему не видит большую часть трафика, проходящего через шлюз.

Примечания по настройке сети

Модем имеет
- IP 192.168.2.3/24
- NAT включен
- DMZ указывает на 192.168.2.252
Брандмауэр имеет
- eth1 IP 192.168.2.252/24
- eth0 IP 192.168.0.254/24
Машина прохода CentOS имеет
- eth0 IP 192.168.0.241/24
- eth0: 1 (тот же ник) IP 192.168.1.241/24
- шлюз по умолчанию 192.168.0.254
- / etc / sysconfig / network имеет строку FORWARD_IPV4 = true
- / etc / sysconfig / network-scripts / route-eth0 содержит несколько строк, например с 192.168.5.0/24 по 192.168.1.2
VPN-серверы
- IP-адреса в диапазоне 192.168.1.0/24, такие как 192.168.1.2
клиентские машины имеют
- IP-адреса в диапазоне 192.168.0.50 - 192.168.0.150
- шлюз по умолчанию 192.168.0.241

Как шлюз не может видеть трафик, проходящий через него с клиентских компьютеров, когда они просматривают Интернет? и что вы предлагаете мне сделать, чтобы исправить возможности мониторинга трафика этой машины?

Я предполагаю, что ОС настроена неправильно, чтобы это работало. Однако я не вижу, как. Помимо наличия второго IP-адреса, он настроен очень похоже на то, как у нас есть другая настройка филиала, и этот работает.

0

centos network-monitoring network-traffic ntop

Источник

BeowulfNode42 25 сен '13 в 23:37

1 ответ

Решение

Другие вопросы по тегам centos network-monitoring network-traffic ntop

Zoredache 26 сен '13 в 00:35 2013-09-26 00:35 · Accepted Answer · 2013-09-26 00:35

Как шлюз не может видеть трафик, проходящий через него с клиентских компьютеров, когда они просматривают Интернет?

Он не может видеть весь трафик. Вы должны поместить это в линию (или выполнить некоторые уродливые взломы NAT.)

Допустим, одна из ваших клиентских машин 192.168.0.50 делает подключение к интернету. Так что он перенаправляет на шлюз по умолчанию 192.168.1.241,
Сейчас 192.168.1.241 имеет пакет и перенаправляет его на брандмауэр 192.168.0.254,
Ваш брандмауэр делает все, что делает, что, вероятно, включает в себя NAT В любом случае, давайте предположим, что пакет был отправлен, и ответ находится на обратном пути.
Брандмауэр имеет ответ, и он предназначен для 192.168.0.50, Так как 192.168.0.50 находится в подсети, локальной для брандмауэра, он подключается напрямую и доставляет его, ответ никогда не доходит до 192.168.1.241,

TLDR, думая о маршрутизации, делает все возможное, чтобы вы думали об адресе получателя в пакете и таблице маршрутов для каждого конкретного устройства. Для получения информации о пути, который, как вы думаете, должен идти, или о пути, по которому следовал пакет, при движении в другом направлении.