tcpdump - pravidlo pro forwardované pakety

[mikesznovu]

Existuje něco na způsob : ?

Kód: [Vybrat]

tcpdump -i eth0 "ip &&  not fwmark 1"
tcpdump -i eth0 "ip &&  not conntracked"
tcpdump -i eth0 "ip &&  not forwarded"
tcpdump -i eth0 "ip && from-local"
 Záměr je jasný - odlišit (skrýt ) pakety které jsou důsledkem forwardingu nebo NATU.  Případně specifikovat podle pravidla -j MASQ  (možná nějak spoluprací s connmark/fwmark.

Nějak, přímo to udělat v tcpdumpu. Případně  s pomocí nějak connmark,fwmark.

(Workaround je, že  v pravidlu -J SNAT dám  specifickou IP  např 10.1.1.3 a následně v tcpdump dám "not host 10.1.1.3"), samotný stroj třeba má 10.1.0.1

A tcpdump -i eth0 "host 10.1.0.1" není řešení

[Reklama]

[bobprasak]

Podle me ne, protoze markovani paketu je vec network stacku a skbuff struct kam uz tcpdump nevidi. Musel byste na to jit treba pres systemtap nebo ebpf.

[Filip Jirsák]

Musel byste si v netfilteru ty značky propsat do něčeho, co je přímo součástí paketu. Často se k tomu zneužívá DiffServ (dříve ToS) oblast IP paketu.