OpenForum RSS: tcpdump + NAT (POSTROUTING) https://opennet.me/openforum/vsluhforumID1/91173.html Здравствуйте, все.<br><br>На сервере Linux Gentoo (2.6.35-gentoo-r12) настроен NAT средствами iptables, например:<br><br>iptables -t nat -A POSTROUTING -s 192.168.0.5/32 -j SNAT --to-source 1.2.3.4<br><br>Где интерфейс 192.168.0.1 смотрит в локалку (192.168.0.5 - один из клиентов), а 1.2.3.4 - смотрит во внешку.<br><br>Таким образом настроены сразу несколько клиентов из подсети 192.168.0.0/24<br><br>Понадобилось захватить трафик с конкретного клиента.<br><br>Подскажите, как с помощью tcpdump отфильтровать трафик ТОЛЬКО с определенного IP 192.168.0.5?<br><br>Например, с клиента 192.168.0.5 пингую яндекс<br><br>В tcpdump вижу уже сNATенный трафик (1.2.3.4 -&gt; ya.ru).<br><br>Может, есть какие-то другие средства (кроме tcpdump)?<br><br>Очень нужно решить эту задачку. Спасибо.<br> tcpdump + NAT (POSTROUTING) (reader) https://opennet.me/openforum/vsluhforumID1/91173.html#3 Wed, 16 Mar 2011 10:12:12 GMT &gt; В том то и дело, на внутреннем интерфейсе не вижу данных локальных <br>&gt; адресов.<br>&gt; Похоже, tcpdump захватывает пакеты после преобразования их iptables'ом.<br>&gt; Какие еще идеи?<br><br>в федоре, мандриве, дебах, фре tcpdump видит пакеты до того как они попадут в пакетный фильтр.<br>может конечно в Gentoo tcpdump особенный, но скорей всего что-то вы не то указываете<br> tcpdump + NAT (POSTROUTING) (PostFx) https://opennet.me/openforum/vsluhforumID1/91173.html#2 Wed, 16 Mar 2011 09:59:59 GMT В том то и дело, на внутреннем интерфейсе не вижу данных локальных адресов.<br>Похоже, tcpdump захватывает пакеты после преобразования их iptables'ом.<br><br>Какие еще идеи?<br> tcpdump + NAT (POSTROUTING) (reader) https://opennet.me/openforum/vsluhforumID1/91173.html#1 Wed, 16 Mar 2011 09:40:15 GMT &gt; Здравствуйте, все.<br>&gt; На сервере Linux Gentoo (2.6.35-gentoo-r12) настроен NAT средствами iptables, например: <br>&gt; iptables -t nat -A POSTROUTING -s 192.168.0.5/32 -j SNAT --to-source 1.2.3.4 <br>&gt; Где интерфейс 192.168.0.1 смотрит в локалку (192.168.0.5 - один из клиентов), а <br>&gt; 1.2.3.4 - смотрит во внешку.<br>&gt; Таким образом настроены сразу несколько клиентов из подсети 192.168.0.0/24 <br><br>а с остальных пакеты идут с серыми адресами, а провайдер смотрит и говорит - что за ....<br><br>&gt; Понадобилось захватить трафик с конкретного клиента.<br>&gt; Подскажите, как с помощью tcpdump отфильтровать трафик ТОЛЬКО с определенного IP 192.168.0.5? <br>&gt; Например, с клиента 192.168.0.5 пингую яндекс <br>&gt; В tcpdump вижу уже сNATенный трафик (1.2.3.4 -&gt; ya.ru).<br>&gt; Может, есть какие-то другие средства (кроме tcpdump)?<br>&gt; Очень нужно решить эту задачку. Спасибо.<br><br>смотрите на внутреннем интерфейсе, а не на внешнем<br><br>