forum.opennet.ru - "tcpdump + NAT (POSTROUTING)" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"tcpdump + NAT (POSTROUTING)"

Форум Открытые системы на сервере (Учет трафика, статистика / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"tcpdump + NAT (POSTROUTING)"	+/–
Сообщение от PostFx (ok) on 16-Мрт-11, 12:24
Здравствуйте, все. На сервере Linux Gentoo (2.6.35-gentoo-r12) настроен NAT средствами iptables, например: iptables -t nat -A POSTROUTING -s 192.168.0.5/32 -j SNAT --to-source 1.2.3.4 Где интерфейс 192.168.0.1 смотрит в локалку (192.168.0.5 - один из клиентов), а 1.2.3.4 - смотрит во внешку. Таким образом настроены сразу несколько клиентов из подсети 192.168.0.0/24 Понадобилось захватить трафик с конкретного клиента. Подскажите, как с помощью tcpdump отфильтровать трафик ТОЛЬКО с определенного IP 192.168.0.5? Например, с клиента 192.168.0.5 пингую яндекс В tcpdump вижу уже сNATенный трафик (1.2.3.4 -> ya.ru). Может, есть какие-то другие средства (кроме tcpdump)? Очень нужно решить эту задачку. Спасибо.
Ответить \| Правка \| Cообщить модератору

Оглавление

tcpdump + NAT (POSTROUTING), reader, 12:40 , 16-Мрт-11, (1)

tcpdump + NAT (POSTROUTING), PostFx, 12:59 , 16-Мрт-11, (2)

tcpdump + NAT (POSTROUTING), reader, 13:12 , 16-Мрт-11, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "tcpdump + NAT (POSTROUTING)" +/–

Сообщение от reader (ok) on 16-Мрт-11, 12:40

> Здравствуйте, все.
> На сервере Linux Gentoo (2.6.35-gentoo-r12) настроен NAT средствами iptables, например:
> iptables -t nat -A POSTROUTING -s 192.168.0.5/32 -j SNAT --to-source 1.2.3.4
> Где интерфейс 192.168.0.1 смотрит в локалку (192.168.0.5 - один из клиентов), а
> 1.2.3.4 - смотрит во внешку.
> Таким образом настроены сразу несколько клиентов из подсети 192.168.0.0/24
а с остальных пакеты идут с серыми адресами, а провайдер смотрит и говорит - что за ....
> Понадобилось захватить трафик с конкретного клиента.
> Подскажите, как с помощью tcpdump отфильтровать трафик ТОЛЬКО с определенного IP 192.168.0.5?
> Например, с клиента 192.168.0.5 пингую яндекс
> В tcpdump вижу уже сNATенный трафик (1.2.3.4 -> ya.ru).
> Может, есть какие-то другие средства (кроме tcpdump)?
> Очень нужно решить эту задачку. Спасибо.
смотрите на внутреннем интерфейсе, а не на внешнем

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "tcpdump + NAT (POSTROUTING)" +/–

Сообщение от PostFx (ok) on 16-Мрт-11, 12:59

В том то и дело, на внутреннем интерфейсе не вижу данных локальных адресов.
Похоже, tcpdump захватывает пакеты после преобразования их iptables'ом.
Какие еще идеи?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "tcpdump + NAT (POSTROUTING)" +/–

Сообщение от reader (ok) on 16-Мрт-11, 13:12

> В том то и дело, на внутреннем интерфейсе не вижу данных локальных
> адресов.
> Похоже, tcpdump захватывает пакеты после преобразования их iptables'ом.
> Какие еще идеи?
в федоре, мандриве, дебах, фре tcpdump видит пакеты до того как они попадут в пакетный фильтр.
может конечно в Gentoo tcpdump особенный, но скорей всего что-то вы не то указываете

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "tcpdump + NAT (POSTROUTING)"	+/–
Сообщение от reader (ok) on 16-Мрт-11, 12:40
> Здравствуйте, все. > На сервере Linux Gentoo (2.6.35-gentoo-r12) настроен NAT средствами iptables, например: > iptables -t nat -A POSTROUTING -s 192.168.0.5/32 -j SNAT --to-source 1.2.3.4 > Где интерфейс 192.168.0.1 смотрит в локалку (192.168.0.5 - один из клиентов), а > 1.2.3.4 - смотрит во внешку. > Таким образом настроены сразу несколько клиентов из подсети 192.168.0.0/24 а с остальных пакеты идут с серыми адресами, а провайдер смотрит и говорит - что за .... > Понадобилось захватить трафик с конкретного клиента. > Подскажите, как с помощью tcpdump отфильтровать трафик ТОЛЬКО с определенного IP 192.168.0.5? > Например, с клиента 192.168.0.5 пингую яндекс > В tcpdump вижу уже сNATенный трафик (1.2.3.4 -> ya.ru). > Может, есть какие-то другие средства (кроме tcpdump)? > Очень нужно решить эту задачку. Спасибо. смотрите на внутреннем интерфейсе, а не на внешнем
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "tcpdump + NAT (POSTROUTING)"	+/–
	Сообщение от PostFx (ok) on 16-Мрт-11, 12:59
	В том то и дело, на внутреннем интерфейсе не вижу данных локальных адресов. Похоже, tcpdump захватывает пакеты после преобразования их iptables'ом. Какие еще идеи?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "tcpdump + NAT (POSTROUTING)"	+/–
	Сообщение от reader (ok) on 16-Мрт-11, 13:12
	> В том то и дело, на внутреннем интерфейсе не вижу данных локальных > адресов. > Похоже, tcpdump захватывает пакеты после преобразования их iptables'ом. > Какие еще идеи? в федоре, мандриве, дебах, фре tcpdump видит пакеты до того как они попадут в пакетный фильтр. может конечно в Gentoo tcpdump особенный, но скорей всего что-то вы не то указываете
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору