Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Зеркалирование трафика - чем и как?  (Прочитано 5241 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн piva_net

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Зеркалирование трафика - чем и как?
« : 06 Октября 2008, 19:54:45 »
Доброго дня, уважаемые!

Ситуация - есть шлюз с двумя интерфейсами - один в инет, второй в лан.
Подскажите, плз., чем можно осуществить зеркалирование всего проходящего трафика на конкретный IP (сетевой анализатор)? Трафика немного.
Смотрел iptables, tcpdump - там ничего подобного не нашел. Может, плохо смотрел. :-\
Ткните носом в инструмент, фичу...  ???

Оффлайн piva_net

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: Зеркалирование трафика - чем и как?
« Ответ #1 : 07 Октября 2008, 19:49:20 »
Так, насколько я понял, iptables + patch-o-matic способны это сделать.
Может, есть какие-либо еще варианты? Чтоб сразу несколько решений иметь на руках.
Например, вывод tcpdump направить на eth0:1 можно?

Оффлайн Tokh

  • Активист
  • *
  • Сообщений: 705
    • Просмотр профиля
Re: Зеркалирование трафика - чем и как?
« Ответ #2 : 07 Октября 2008, 20:10:21 »
Найти на барахолке хаб. Тот самый который не умеет прелестей Switch, который во все свои порты тупо раздаёт всё, что проходит через его порты. Только народ отписывал, что нет уже их... А новые девайсы, которые это умеют, стоят дорого.

Или сделать руками "Пассивный хаб для витой пары (Ethernet)" http://www.qrz.ru/schemes/contribute/comp/passive-hub.shtml
StarDict и Mueller помогут против английского мануала.

Оффлайн piva_net

  • Автор темы
  • Новичок
  • *
  • Сообщений: 10
    • Просмотр профиля
Re: Зеркалирование трафика - чем и как?
« Ответ #3 : 08 Октября 2008, 00:30:50 »
Думал уже про хаб, но это не спортивно, хоть и сработает.
Более того, т.к. через шлюз несколько человек лазят в пиринг, то с хабом могут быть неприятности - коллизии, потери пакетов, и т.д. Опять же, лишний хоп не хочется, хоть и короткий.

В принципе, есть один способ зазеркалить трафик - iptables + patch-o-matic, но сие мне не доступно, т.к. в ядре нет поддержки, а пересобирать ядро как то не очень хочется.

Был найдет способ, описанный тут, но меня терзают смутные сомнения, что оно заработает. Вернее сказать, я не понимаю, как оно работает.
Кратко, по шагам (весь исходящий трафик зарулить на снифер):
  • iptables -A PREROUTING -i eth0 -s 192.168.1.0/24 -d ! 192.168.1.0/24 -t mangle -j MARK --set-mark 2 (маркируем пакеты, уходящие наружу)
  • echo 202 sniffing >> /etc/iproute2/rt_tables (создаем таблицу правил отбора пакетов sniffing)
  • ip rule add fwmark 2 table sniffing(добавляем в таблицу правило, отбирающее все помеченные пакеты)
  • ip route add default via 192.168.1.100 dev eth0:1 table sniffing(добавляем маршрут по умолчанию для пакетов, отобранных правилами таблицы sniffing)

И чего мы имеем в итоге? Что все исходящие пакеты заруливаются на 192.168.1.100. Пардон, а как они тогда на улицу выйдут? Поясните, плз.?

Блин, понял - ну и мышление у народа. Трафик заруливается на снифер, но наружу не выпускается, и так и задумано. Хотя, тогда я не понимаю, на кой было все так усложнять с маркировкой пакетов - можно было просто все зарулить... Хм.  :idiot2:

Где-то еще натыкался на инфо, что как-то с помощью бриджа можно трафик зазеркалить? Кто-нить подскажет хоть, куда копать?

 

Страница сгенерирована за 0.04 секунд. Запросов: 23.