iptablesで特定のホストとのトラフィックを監視する

とある要件で特定ホストとの通信状態を監視する必要がありました。
少し考えて、iptablesでできるんじゃないかと思い以下のように設定して監視することにしました。
テスト先のホストはいつもお世話になってるドルフィンインターネットです。

sudo iptables -A INPUT -s 210.135.90.8
sudo iptables -A OUTPUT -d 210.135.90.8

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
           all  --  www3.din.or.jp       anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
           all  --  anywhere             www3.din.or.jp      

Chain TRAFFIC_ACCT_IN (0 references)
target     prot opt source               destination         

Chain TRAFFIC_ACCT_OUT (0 references)
target     prot opt source               destination

こうすると、このように結果を見ることができます。

sudo iptables -L -n -v -x
Chain INPUT (policy ACCEPT 193844 packets, 108136485 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
     531    44604            all  --  *      *       210.135.90.8         0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 96462 packets, 13605368 bytes)
    pkts      bytes target     prot opt in     out     source               destination         
     526    44184            all  --  *      *       0.0.0.0/0            210.135.90.8        

Chain TRAFFIC_ACCT_IN (0 references)
    pkts      bytes target     prot opt in     out     source               destination         

Chain TRAFFIC_ACCT_OUT (0 references)
    pkts      bytes target     prot opt in     out     source               destination

あとはバッチでパースしてGrowthforecast等に投げるだけです。
また今回はリモートホストが対象ですが、ポートやプロトコルの監視もできるはずです。
これは地味に便利ですね。

コメントを残す

メールアドレスが公開されることはありません。


*