[РЕШЕНО] В Ubuntu 10.04 iptables и tcpdump не фиксирует MAC адреса

[dlormidal]

Проблема в следующем:
Возникла необходимость прописать фильтрацию по MAC в iptables. Пишу правила в цепочку forward (-m mac --mac-source ....) - никакого эффекта.
Затем поставил правило iptables для записи в лог. Пробовал разный лог-левел, все-равно в syslog и messages прописывает ip, порты, флаги, но мак нет.
Затем пробовал tcpdump. Та же история. И при выводе напрямую в файл и при чтении из лога (с параметром -r) пишет айпи, флаги, порты, размер пакетов, но маков нет. Хотя в логе, если посмотреть по смещению 40, мак адреса tcpdump исправно записал, но почему-то их не выводит.
Проверял на двух ubuntu-desktop и одной ubuntu-server (все версии 10.04.3 - если я ничего не путаю).

Подскажите, пожалуйста, как можно решить данную проблему?

[fisher74]

Для начала показать

Код: [Выделить]

sudo iptables-saveИ какой командой дампили пакеты?

[Гарри Кашпировский]

Больше интересно, откуда эти пакеты пришли.

[fisher74]

На счёт источника это второй вопрос.
ТС утверждает, что tcpdump не кажет MAC-адреса и таблесы фиолетово относятся к условиям правил в виде MAC-адресов
А я ему не верю, почему-то

[dlormidal]

fisher74

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Sun Jan 17 23:35:28 2010
*nat
:PREROUTING ACCEPT [38:12233]
:POSTROUTING ACCEPT [1:5880]
:OUTPUT ACCEPT [1:5880]
# Remote admin rules
-A PREROUTING -i eth0 -p tcp --dport 20001 -j DNAT --to-destination 10.0.0.42:4899
-A PREROUTING -i eth0 -p tcp --dport 20002 -j DNAT --to-destination 10.0.0.31:4899
-A PREROUTING -i eth0 -p tcp --dport 20003 -j DNAT --to-destination 10.0.0.27:4899
-A PREROUTING -i eth0 -p tcp --dport 20004 -j DNAT --to-destination 10.0.0.67:4899
-A PREROUTING -i eth0 -p tcp --dport 20005 -j DNAT --to-destination 10.0.0.61:4899
-A PREROUTING -i eth0 -p tcp --dport 20006 -j DNAT --to-destination 10.0.0.29:4899
-A PREROUTING -i eth0 -p tcp --dport 20007 -j DNAT --to-destination 10.0.0.85:4899
-A PREROUTING -i eth0 -p tcp --dport 20008 -j DNAT --to-destination 10.0.0.12:4899
-A PREROUTING -i eth0 -p tcp --dport 20009 -j DNAT --to-destination 10.0.0.98:4899
-A PREROUTING -i eth0 -p tcp --dport 20010 -j DNAT --to-destination 10.0.0.48:4899
-A PREROUTING -i eth0 -p tcp --dport 20017 -j DNAT --to-destination 10.0.0.15:4899
-A PREROUTING -i eth0 -p tcp --dport 20018 -j DNAT --to-destination 10.0.0.91:4899
-A PREROUTING -i eth0 -p tcp --dport 20030 -j DNAT --to-destination 10.0.0.65:4899
-A PREROUTING -i eth0 -p tcp --dport 20031 -j DNAT --to-destination 10.0.0.8:4899
-A PREROUTING -i eth0 -p tcp --dport 20038 -j DNAT --to-destination 10.0.0.99:4899
-A PREROUTING -i eth0 -p tcp --dport 22222 -j DNAT --to-destination 10.0.0.1:4899
# --------
-A PREROUTING -i eth0 -p tcp --dport 7722 -j DNAT --to-destination 10.0.0.1:7722
-A PREROUTING -i eth0 -p udp --dport 7722 -j DNAT --to-destination 10.0.0.1:7722
-A PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-destination 10.0.0.1:3389
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Jan 17 23:35:28 2010
# Generated by iptables-save v1.4.4 on Sun Jan 17 23:35:28 2010
*filter
:INPUT ACCEPT [10814:521460]
:FORWARD DROP [573:41994]
:OUTPUT ACCEPT [4050:22632837]
-A FORWARD -s x.x.x.x -j ACCEPT
-A FORWARD -d x.x.x.x -j ACCEPT
-A FORWARD -p tcp --destination-port 4899 -j ACCEPT
-A FORWARD -p tcp --source-port 8420 -j LOG --log-prefix "GRIBAN"
-A FORWARD -p tcp --source-port 8420 -j ACCEPT
-A FORWARD -p tcp --destination-port 8420 -j ACCEPT
-A FORWARD -p tcp --destination-port 25 -j LOG --log-prefix "MAIL SMTP"
-A FORWARD -p tcp --destination-port 25 -j ACCEPT
-A FORWARD -p tcp --source-port 25 -j LOG --log-prefix "MAIL SMTP"
-A FORWARD -p tcp --source-port 25 -j ACCEPT
-A FORWARD -p tcp --destination-port 110 -j LOG --log-prefix "MAIL POP"
-A FORWARD -p tcp --destination-port 110 -j ACCEPT
-A FORWARD -p tcp --source-port 110 -j LOG --log-prefix "MAIL POP"
-A FORWARD -p tcp --source-port 110 -j ACCEPT
-A FORWARD -p tcp --destination-port 443 -j LOG --log-prefix "ICQ"
-A FORWARD -p tcp --destination-port 443 -j ACCEPT
-A FORWARD -p tcp --source-port 443 -j LOG --log-prefix "ICQ"
-A FORWARD -p tcp --source-port 443 -j ACCEPT
-A FORWARD -i eth1 -s 10.0.0.0/24 -j ACCEPT
-A FORWARD -p tcp --destination-port 5222 -j ACCEPT
-A FORWARD -p tcp --source-port 5222 -j ACCEPT
-A FORWARD -m iprange --src-range 208.88.227.165-208.88.227.170 -j LOG --log-prefix "JABBER FILES"
-A FORWARD -m iprange --src-range 208.88.227.165-208.88.227.170 -j ACCEPT
-A FORWARD -m iprange --dst-range 208.88.227.165-208.88.227.170 -j LOG --log-prefix "JABBER FILES"
-A FORWARD -m iprange --dst-range 208.88.227.165-208.88.227.170 -j ACCEPT
-A FORWARD -s 82.208.98.203 -j LOG --log-prefix "NINA"
-A FORWARD -s 82.208.98.203 -j ACCEPT
-A FORWARD -s 82.208.98.205 -j LOG --log-prefix "NINA"
-A FORWARD -s 82.208.98.205 -j ACCEPT
-A FORWARD -d 82.208.98.205 -j ACCEPT
# Remote 1c server access MAC control
-A FORWARD -s 10.0.0.1 -j ACCEPT
-A FORWARD -p tcp -d 10.0.0.1 ! --dport 3389 -j ACCEPT
-A FORWARD -p udp -d 10.0.0.1 ! --dport 3389 -j ACCEPT
-A FORWARD -p tcp -d 10.0.0.1 --dport 3389 -m mac --mac-source 00:1c:bf:b7:1a:bb -j ACCEPT
-A FORWARD -p tcp -d 10.0.0.1 --dport 3389 -m mac --mac-source 00:1a:80:a2:65:d7 -j ACCEPT
-A FORWARD -p tcp -d 10.0.0.1 --dport 3389 -m mac --mac-source 00:1b:fc:da:63:4c -j ACCEPT
-A FORWARD -p tcp -d 10.0.0.1 --dport 3389 -m string --algo bm --from 55 --to 56 --hex-string "|001bfcda634c|" -j ACCEPT
# Tumbit ITS engenieer
-A FORWARD -p tcp -s 84.254.223.21 -d 10.0.0.1 --dport 3389 -j ACCEPT
#
-A FORWARD -d 10.0.0.5 -j ACCEPT
-A FORWARD -d 10.0.0.11 -j ACCEPT
-A FORWARD -d 10.0.0.31 -j ACCEPT
-A FORWARD -d 10.0.0.89 -j ACCEPT
-A FORWARD -d 10.0.0.200 -j ACCEPT
-A FORWARD -d 10.0.0.99 -p tcp --source-port 8420 -j LOG --log-prefix "BOGDANOV"
-A FORWARD -d 10.0.0.99 -p tcp --source-port 8420 -j ACCEPT
#VPN Rules
-A INPUT -p udp --dport 1194 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -o tun0 -j ACCEPT
-A FORWARD -m iprange --dst-range 10.0.0.60-10.0.0.70 -j ACCEPT
-A FORWARD -s 10.0.0.0/24 -j ACCEPT
-A FORWARD -d 10.0.0.0/24 -j DROP
COMMIT
# Completed on Sun Jan 17 23:35:28 2010

Вставлял правило с -j LOG prefix "MAC" в сислоге была примерно такая строка в этот момент
mac in=eth0 out=eth1 src = x.x.x.x dst=10.0.0.1 len=48 tos=0x00 prec= и т.д.

Дамп делал командой
tcpdump -i eth0 tcp port 3389 -n -vv -w /home/gate/test
В результате в файле появлялось:

Код: [Выделить]

"IP x.x.x.x.4204 > 10.0.0.1.3389: Flags [S] seq ... и т.д."mac адреса нет
Причем если необработанный лог tcpdump открыть, то по смещению 40 там записаны 2 мака и 0800, все как положено.
tcpdump пробовал на разных интерфейсах и на внешнем и на локальном, и v разное количество писал. Бесполезно.

[fisher74]

Вставлял правило с -j LOG prefix "MAC"

Куда вставляли и какое именно правило?

в сислоге была примерно такая строка в этот момент
mac in=eth0 out=eth1 src = x.x.x.x dst=10.0.0.1 len=48 tos=0x00 prec= и т.д.

А Вы что ждали?

Дамп делал командой
tcpdump -i eth0 tcp port 3389 -n -vv -w /home/gate/test
...
Бесполезно.

Оно и понятно. Потому как опцию -e Вы упустили. А именно она позволяет увидеть пакеты на канальном уровне.

[dlormidal]

Куда вставляли и какое именно правило?

Перед правилами с -m mac вставлял

Код: [Выделить]

-A FORWARD -p tcp -s 109.105.180.196 -d 10.0.0.1 --dport 3389 -j LOG --log-prefix "MAC"

А Вы что ждали?

Я ждал, что между ин аут интерфейсами и айпи пропишется мак адрес, как в интернет примерах пишут.

Оно и понятно. Потому как опцию -e Вы упустили. А именно она позволяет увидеть пакеты на канальном уровне.

Пробовал

Код: [Выделить]

tcpdump -i eth0 tcp port 3389 -e -n -vvv -w /home/gate/testмак адреса не выводит

[fisher74]

Перед правилами с -m mac вставлял

На счёт маков в логе не скажу, но у меня тоже в логе их нет. Может там какие-то особые опции надо ставить, но я не разбирался - неинтересно.
Но факт того, что в лог пакет пишется, говорит о том, что до по правилам пакет добирается до нужного места.

Пробовал

Код: [Выделить]

tcpdump -i eth0 tcp port 3389 -e -n -vvv -w /home/gate/testмак адреса не выводит

Что я сделал не так?

(Нажмите, чтобы показать/скрыть)

~$ sudo tcpdump -i eth0 -e -vv -vvv port 5190
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
08:00:36.041921 00:0f:fe:8a:24:ae (oui Unknown) > 00:90:4c:c0:00:01 (oui Unknown), ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 64, id 43602, offset 0, flags [DF], proto TCP (6), length 46)
    sergey-desktop.58731 > bos-w030a-rdr1.blue.icq.net.aol: Flags [P.], cksum 0x235e (incorrect -> 0xb399), seq 1379386807:1379386813, ack 2576551527, win 62772, length 6
08:00:36.230572 00:90:4c:c0:00:01 (oui Unknown) > 00:0f:fe:8a:24:ae (oui Unknown), ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 107, id 64423, offset 0, flags [DF], proto TCP (6), length 40)
    bos-w030a-rdr1.blue.icq.net.aol > sergey-desktop.58731: Flags [.], cksum 0x92f5 (correct), seq 1, ack 6, win 16384, length 0

[dlormidal]

fisher74
Огромное спасибо за помощь!
Ввел команду, как у вас и вижу мак-адреса. Дальше разобраться дело техники.

[victor00000]

или arp -a