URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91173
[ Назад ]

Исходное сообщение
"tcpdump + NAT (POSTROUTING)"
Отправлено PostFx , 16-Мрт-11 12:24

Здравствуйте, все.
На сервере Linux Gentoo (2.6.35-gentoo-r12) настроен NAT средствами iptables, например:
iptables -t nat -A POSTROUTING -s 192.168.0.5/32 -j SNAT --to-source 1.2.3.4
Где интерфейс 192.168.0.1 смотрит в локалку (192.168.0.5 - один из клиентов), а 1.2.3.4 - смотрит во внешку.
Таким образом настроены сразу несколько клиентов из подсети 192.168.0.0/24
Понадобилось захватить трафик с конкретного клиента.
Подскажите, как с помощью tcpdump отфильтровать трафик ТОЛЬКО с определенного IP 192.168.0.5?
Например, с клиента 192.168.0.5 пингую яндекс
В tcpdump вижу уже сNATенный трафик (1.2.3.4 -> ya.ru).
Может, есть какие-то другие средства (кроме tcpdump)?
Очень нужно решить эту задачку. Спасибо.

Содержание

tcpdump + NAT (POSTROUTING),reader, 12:40 , 16-Мрт-11
- tcpdump + NAT (POSTROUTING),PostFx, 12:59 , 16-Мрт-11
  - tcpdump + NAT (POSTROUTING),reader, 13:12 , 16-Мрт-11

Сообщения в этом обсуждении

"tcpdump + NAT (POSTROUTING)"
Отправлено reader , 16-Мрт-11 12:40

> Здравствуйте, все.
> На сервере Linux Gentoo (2.6.35-gentoo-r12) настроен NAT средствами iptables, например:
> iptables -t nat -A POSTROUTING -s 192.168.0.5/32 -j SNAT --to-source 1.2.3.4
> Где интерфейс 192.168.0.1 смотрит в локалку (192.168.0.5 - один из клиентов), а
> 1.2.3.4 - смотрит во внешку.
> Таким образом настроены сразу несколько клиентов из подсети 192.168.0.0/24
а с остальных пакеты идут с серыми адресами, а провайдер смотрит и говорит - что за ....
> Понадобилось захватить трафик с конкретного клиента.
> Подскажите, как с помощью tcpdump отфильтровать трафик ТОЛЬКО с определенного IP 192.168.0.5?
> Например, с клиента 192.168.0.5 пингую яндекс
> В tcpdump вижу уже сNATенный трафик (1.2.3.4 -> ya.ru).
> Может, есть какие-то другие средства (кроме tcpdump)?
> Очень нужно решить эту задачку. Спасибо.
смотрите на внутреннем интерфейсе, а не на внешнем

"tcpdump + NAT (POSTROUTING)"
Отправлено PostFx , 16-Мрт-11 12:59

В том то и дело, на внутреннем интерфейсе не вижу данных локальных адресов.
Похоже, tcpdump захватывает пакеты после преобразования их iptables'ом.
Какие еще идеи?

"tcpdump + NAT (POSTROUTING)"
Отправлено reader , 16-Мрт-11 13:12

> В том то и дело, на внутреннем интерфейсе не вижу данных локальных
> адресов.
> Похоже, tcpdump захватывает пакеты после преобразования их iptables'ом.
> Какие еще идеи?
в федоре, мандриве, дебах, фре tcpdump видит пакеты до того как они попадут в пакетный фильтр.
может конечно в Gentoo tcpdump особенный, но скорей всего что-то вы не то указываете