Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: mikesznovu 07. 03. 2022, 12:11:31

Název: tcpdump - pravidlo pro forwardované pakety
Přispěvatel: mikesznovu 07. 03. 2022, 12:11:31

Existuje něco na způsob : ?

Kód: [Vybrat]

tcpdump -i eth0 "ip &&  not fwmark 1"
tcpdump -i eth0 "ip &&  not conntracked"
tcpdump -i eth0 "ip &&  not forwarded"
tcpdump -i eth0 "ip && from-local"
 Záměr je jasný - odlišit (skrýt ) pakety které jsou důsledkem forwardingu nebo NATU.  Případně specifikovat podle pravidla -j MASQ  (možná nějak spoluprací s connmark/fwmark.

Nějak, přímo to udělat v tcpdumpu. Případně  s pomocí nějak connmark,fwmark.

(Workaround je, že  v pravidlu -J SNAT dám  specifickou IP  např 10.1.1.3 a následně v tcpdump dám "not host 10.1.1.3"), samotný stroj třeba má 10.1.0.1

A tcpdump -i eth0 "host 10.1.0.1" není řešení

Název: Re:tcpdump - pravidlo pro forwardované pakety (fwmark?, connmark?)
Přispěvatel: bobprasak 07. 03. 2022, 12:37:27

Podle me ne, protoze markovani paketu je vec network stacku a skbuff struct kam uz tcpdump nevidi. Musel byste na to jit treba pres systemtap nebo ebpf.

Název: Re:tcpdump - pravidlo pro forwardované pakety
Přispěvatel: Filip Jirsák 07. 03. 2022, 16:59:54

Musel byste si v netfilteru ty značky propsat do něčeho, co je přímo součástí paketu. Často se k tomu zneužívá DiffServ (dříve ToS) oblast IP paketu.