如何使用 iptraf-ng 排除 LAN 流量？

Question

我想用它iptraf-ng来查看我的机器正在从 Internet 发送/接收多少数据，但我想排除 LAN 上的流量，因为我只对异地数据感兴趣。

我按如下方式创建了一个过滤器，但是当我激活它时，iptraf-ng根本没有显示任何流量！

• 源IP地址： 192.168.0.0
• 源通配符掩码： 255.255.255.255
• 目标 IP 地址： 192.168.0.0
• 目标通配符掩码： 255.255.255.255
• 协议：All IP, TCP, UDP, ICMP（设置或取消设置的实际值没有区别）
• 包含/排除：（E如果我将其更改I为没有区别）
• 匹配对面：（N如果我改成Y没有区别）

这让我觉得要么过滤器完全坏了，要么我真的误解了它们的工作原理。

我应该如何创建一个iptraf-ng过滤器来排除源和目标 IP 都在 192.168.0.0/24 中的所有流量？

Answer 1

应该注意两点：

• “匹配相反”并不意味着“反转过滤器的意义”。它的意思是“匹配过滤器中主机/端口的传入和传出流量”。
• 一旦过滤器就位，任何与过滤器不匹配的数据包都会被丢弃。因此，如果您使用排除过滤器，请务必使用“全部接受”规则来完成它，否则将无法匹配！

考虑到这一点，定义过滤器以排除 LAN 的方法是：

• 创建一个过滤器，给它一个名字。当您进入添加过滤器的屏幕时，添加以下内容：

  • IP 地址：192.168.0.0
  • 通配符掩码：255.255.0.0
  • 跳过端口范围和目的IP/通配符/端口
  • 将 Y 放入“所有 IP”
  • 将 E 放在“包含/排除”中
  • 将 Y 放在“匹配对面”中

• 按enter将此规则添加到过滤器，然后a添加另一条规则：

  • 跳过所有地址字段
  • 将 Y 放入“所有 IP”
  • 把我放在“包括/排除”中
  • 在“匹配对面”中输入 N

  这是“全部允许”规则。按enter接受它。

• 返回过滤器屏幕，按x退出。从菜单中选择“应用过滤器...”并应用您创建的新过滤器。

您现在有一个可以接受所有内容的过滤器 - 除了来自 LAN 的流量。

（在我的例子中，我用它来过滤端口 22，因为我正在连接到我想通过 ssh 检查的机器，并且iptraf输出本身导致了大部分流量，因为它正在通过 ssh）。