forum.opennet.ru - "tcpdump before/after netfilter" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"tcpdump before/after netfilter"

Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"tcpdump before/after netfilter"	+/–
Сообщение от anonymous (??) on 02-Май-15, 13:59
Добрый день, в процессе траблшутинга одной сетевой проблемы, пришел к выводу, что tcpdump "видит" пакеты не прямо с интерфейса, а после прохождения цепочек raw/prerouting (их таблиц nat и mangle, в момент принятия решения о маршрутизации). Однозначного мнения на эту тему не нашлось почему-то даже в рассылке netfilter. Сделать в нужном месте log пакетов чтобы убедиться сейчас не могу, ядро не поддерживает. Если кто-то знает точный ответ на эту тему, предпочтительно с указанием на кусок кода в подсистеме netfilter, пожалуйста откликнитесь. P.S. Есть нюанс, если это важно - для управления netfilter используется nft, iptables в ядре выключен.
Ответить \| Правка \| Cообщить модератору

Оглавление

tcpdump before/after netfilter, тень_pavel_simple, 17:29 , 02-Май-15, (1)

tcpdump before/after netfilter, anonymous, 22:44 , 02-Май-15, (2)

tcpdump before/after netfilter, PavelR, 09:42 , 03-Май-15, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "tcpdump before/after netfilter" +/–

Сообщение от тень_pavel_simple on 02-Май-15, 17:29

>[оверквотинг удален]
> в процессе траблшутинга одной сетевой проблемы, пришел к выводу, что tcpdump "видит"
> пакеты не прямо с интерфейса, а после прохождения цепочек raw/prerouting (их
> таблиц nat и mangle, в момент принятия решения о маршрутизации).
> Однозначного мнения на эту тему не нашлось почему-то даже в рассылке netfilter.
> Сделать в нужном месте log пакетов чтобы убедиться сейчас не могу, ядро
> не поддерживает.
> Если кто-то знает точный ответ на эту тему, предпочтительно с указанием на
> кусок кода в подсистеме netfilter, пожалуйста откликнитесь.
> P.S. Есть нюанс, если это важно - для управления netfilter используется nft,
> iptables в ядре выключен
http://www.cs.columbia.edu/~nahum/w6998/lectures/vpk-columbi...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "tcpdump before/after netfilter" +/–

Сообщение от anonymous (??) on 02-Май-15, 22:44

>[оверквотинг удален]
>> пакеты не прямо с интерфейса, а после прохождения цепочек raw/prerouting (их
>> таблиц nat и mangle, в момент принятия решения о маршрутизации).
>> Однозначного мнения на эту тему не нашлось почему-то даже в рассылке netfilter.
>> Сделать в нужном месте log пакетов чтобы убедиться сейчас не могу, ядро
>> не поддерживает.
>> Если кто-то знает точный ответ на эту тему, предпочтительно с указанием на
>> кусок кода в подсистеме netfilter, пожалуйста откликнитесь.
>> P.S. Есть нюанс, если это важно - для управления netfilter используется nft,
>> iptables в ядре выключен
> http://www.cs.columbia.edu/~nahum/w6998/lectures/vpk-columbi...
Благодарю за линк. Судя по описанию LSF:
Kernel-level mechanism that allows raw access to the NIC
я начинал исследование не с того конца. Пытаюсь захватить пакеты на tun интерфейсе (openvpn client), предназначенные не клиенту vpn, а в сеть за клиентом, но они отсутствуют на интерфейсе. Все ip_forward включены, файрволлы и rp_filter выключены и т.д.
Насколько я понимаю, в ряде случаев (вроде аппаратной обработки некоторыми NIC пакетов) пакеты не попадут в tcpdump, т.к. будет изменены раньше.
На интерфейс, предшествующий tun, трафик попадает зашифрованным, т.е. там его ловить бессмысленно. Далее он, судя по всему, передается процессу openvpn, где и дропается по какой-то причине. Я же, в попытках слушать на tun интерфейсе, этот трафик уже не увижу.
P.S. Судя по всему, это документ из презентации? А есть ли видеозапись? Благодарю.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "tcpdump before/after netfilter" +/–

Сообщение от PavelR (??) on 03-Май-15, 09:42

> На интерфейс, предшествующий tun, трафик попадает зашифрованным, т.е. там его ловить бессмысленно.
> Далее он, судя по всему, передается процессу openvpn, где и дропается
> по какой-то причине. Я же, в попытках слушать на tun интерфейсе,
> этот трафик уже не увижу.
Если вы про входящий по туннелю трафик, то всё верно.
Проверьте корректность опций iroute и связанных с ними.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "tcpdump before/after netfilter"	+/–
Сообщение от тень_pavel_simple on 02-Май-15, 17:29
>[оверквотинг удален] > в процессе траблшутинга одной сетевой проблемы, пришел к выводу, что tcpdump "видит" > пакеты не прямо с интерфейса, а после прохождения цепочек raw/prerouting (их > таблиц nat и mangle, в момент принятия решения о маршрутизации). > Однозначного мнения на эту тему не нашлось почему-то даже в рассылке netfilter. > Сделать в нужном месте log пакетов чтобы убедиться сейчас не могу, ядро > не поддерживает. > Если кто-то знает точный ответ на эту тему, предпочтительно с указанием на > кусок кода в подсистеме netfilter, пожалуйста откликнитесь. > P.S. Есть нюанс, если это важно - для управления netfilter используется nft, > iptables в ядре выключен http://www.cs.columbia.edu/~nahum/w6998/lectures/vpk-columbi...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "tcpdump before/after netfilter"	+/–
	Сообщение от anonymous (??) on 02-Май-15, 22:44
	>[оверквотинг удален] >> пакеты не прямо с интерфейса, а после прохождения цепочек raw/prerouting (их >> таблиц nat и mangle, в момент принятия решения о маршрутизации). >> Однозначного мнения на эту тему не нашлось почему-то даже в рассылке netfilter. >> Сделать в нужном месте log пакетов чтобы убедиться сейчас не могу, ядро >> не поддерживает. >> Если кто-то знает точный ответ на эту тему, предпочтительно с указанием на >> кусок кода в подсистеме netfilter, пожалуйста откликнитесь. >> P.S. Есть нюанс, если это важно - для управления netfilter используется nft, >> iptables в ядре выключен > http://www.cs.columbia.edu/~nahum/w6998/lectures/vpk-columbi... Благодарю за линк. Судя по описанию LSF: Kernel-level mechanism that allows raw access to the NIC я начинал исследование не с того конца. Пытаюсь захватить пакеты на tun интерфейсе (openvpn client), предназначенные не клиенту vpn, а в сеть за клиентом, но они отсутствуют на интерфейсе. Все ip_forward включены, файрволлы и rp_filter выключены и т.д. Насколько я понимаю, в ряде случаев (вроде аппаратной обработки некоторыми NIC пакетов) пакеты не попадут в tcpdump, т.к. будет изменены раньше. На интерфейс, предшествующий tun, трафик попадает зашифрованным, т.е. там его ловить бессмысленно. Далее он, судя по всему, передается процессу openvpn, где и дропается по какой-то причине. Я же, в попытках слушать на tun интерфейсе, этот трафик уже не увижу. P.S. Судя по всему, это документ из презентации? А есть ли видеозапись? Благодарю.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "tcpdump before/after netfilter"	+/–
	Сообщение от PavelR (??) on 03-Май-15, 09:42
	> На интерфейс, предшествующий tun, трафик попадает зашифрованным, т.е. там его ловить бессмысленно. > Далее он, судя по всему, передается процессу openvpn, где и дропается > по какой-то причине. Я же, в попытках слушать на tun интерфейсе, > этот трафик уже не увижу. Если вы про входящий по туннелю трафик, то всё верно. Проверьте корректность опций iroute и связанных с ними.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору