61
Software / tcppdump vypisuje nezNATovené adresy
« kdy: 17. 08. 2021, 12:24:34 »
Zdravím, tohle patří na pomezí sítě - utility. Přes ssh jsem si na routeru prohlížel tcpdump . wlan1 je WAN s 10.2.0.0/24 a na druhém rozhraní(nejmenované) je místní LAN 192.168/24, ze které jsem měl připojen smartphone.
(Příkaz uvádím, jak byly zadané, takže tam je i nesmyslně "ip")
Oba dělají v podstatě to samé (ale je to jinak formulované, první říká traffic na WAN s IP LAN, ale jelikož mám v iptables MASQUERADE, tak by se tam nemělo vyskytovat 192.168 vůbec, ale 10.2.0.14!. Druhý to říká jen přes negaci: provoz na WAN s jinou adresou než adresu WAN *)
No překvapilo mě že tcpdump vypisoval:
Co ale je divné, že se to stávalo pouze při speedtestu při uploadu. Jako kdyby NAT nestíhal. Vícekrát a pravidelněji se tam ukazovala první IP (port 443). A občas se tam ukazovala IP druhá (port 853 - DNSoverTLS) v menším počtu a méně častěji. Dělá to na 2 speedstestech.
Je pro to nějaké vysvětlení proč se to děje? Je to chyba natu a nebo jen chyba výpisu. Máte tip, jak to ověřit , když dál nez na ten router nedosáhnu?
* Není to uplně přesné, to ví každý, kdo v wiresharku napsal ip not 192.168.1.2, ale asi myslel !(ip == 192.168.1.2), proto to taky poddtrhuje žlutě. Ale pro příklad je to jedno.
Kód: [Vybrat]
sudo tcptump -n -i wlan1 "ip" -t "net 192.168.1.0/24
sudo tcptump -n -i wlan1 "ip" -t "host not 10.2.0.14/24
(Příkaz uvádím, jak byly zadané, takže tam je i nesmyslně "ip")
Oba dělají v podstatě to samé (ale je to jinak formulované, první říká traffic na WAN s IP LAN, ale jelikož mám v iptables MASQUERADE, tak by se tam nemělo vyskytovat 192.168 vůbec, ale 10.2.0.14!. Druhý to říká jen přes negaci: provoz na WAN s jinou adresou než adresu WAN *)
No překvapilo mě že tcpdump vypisoval:
Kód: [Vybrat]
IP 192.168.1.99.56789 > 13.14.15.15:443 Flags <R> win 0 length 0
IP 192.168.1.99.56789 > 114.114.115.115:853 Flags <R> win 0 length 0
Co ale je divné, že se to stávalo pouze při speedtestu při uploadu. Jako kdyby NAT nestíhal. Vícekrát a pravidelněji se tam ukazovala první IP (port 443). A občas se tam ukazovala IP druhá (port 853 - DNSoverTLS) v menším počtu a méně častěji. Dělá to na 2 speedstestech.
Je pro to nějaké vysvětlení proč se to děje? Je to chyba natu a nebo jen chyba výpisu. Máte tip, jak to ověřit , když dál nez na ten router nedosáhnu?
* Není to uplně přesné, to ví každý, kdo v wiresharku napsal ip not 192.168.1.2, ale asi myslel !(ip == 192.168.1.2), proto to taky poddtrhuje žlutě. Ale pro příklad je to jedno.