Вопрос по отзеркаливанию трафика с помощью iptables TEE

0

2

Всех приветствую!

Задача стандартная:
есть роутер с OpenWRT (chaos calmer 15.05) -> 192.168.8.1
ноут с Wireshark -> 192.168.8.225
смарт c Android -> 192.168.8.104
ноут -> 192.168.8.247

Зеркалю трафик так:
iptables -A PREROUTING -t mangle -j TEE --gateway 192.168.8.225
iptables -A POSTROUTING -t mangle -j TEE --gateway 192.168.8.225
(пробовал также явно указывать IP-адреса с помощью -d и -s и интерфейсы в целом (-i и -o))

По непонятной пока мне причине ping 192.168.8.104 с ноута(192.168.8.247) не регистрируется Wireshark(192.168.8.225).
При этом ping 192.168.8.1 с ноута(192.168.8.247) регистрируется Wireshark(192.168.8.225).

Как сделать так, чтобы Wireshark(192.168.8.225) перехватывал всю сетевую активность?

Пробовал также предварительно очищать дефолтные таблицы и уже затем задавать правила для зеркаливания, но это не помогло.
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F

Если кто знает подскажите в чем дело.
Буду очень благодарен.

Ссылка

←	Антиспуфинг для клиентов, которые подключаются по BGP

Как пустить определённые сайты через TOR или VPN на OpenWRT

→

По непонятной пока мне причине ping 192.168.8.104 с ноута(192.168.8.247) не регистрируется Wireshark(192.168.8.225).

wifi не очень простая вещь. Если хорошо подумать, то видить трафик соседней машины не очень хорошо с точки зрения безопасности.

IMHO по этой же причине TEE не будет показывать весь трафик, а только то, что идет через точку.

При зеркалировании нужно быть очень аккуратным, чтобы не зациклить его.

iptables -A PREROUTING -t mangle -s 192.168.8.104 -j TEE --gateway 192.168.8.225
iptables -A POSTROUTING -t mangle -d 192.168.8.104 -j TEE --gateway 192.168.8.225

После этого убедиться, что счетчики правил не 0.

Возможно режим «monitor» на ноуте может помочь, но он доступен не на всех картах.

Или сделай открытую сеть и будет все видно :)

С другой стороны, а почему бы на роутере не запустить tcpdump?

Для Wireshark есть подсказки как удаленно захватывать трафик через tcpdump (wireshark запихивать на роутер значительно сложнее).

vel ★★★★★
(06.01.18 22:22:24 MSK)

Ответ на: комментарий от vel 06.01.18 22:22:24 MSK

Спасибо большое за ответ.

wifi не очень простая вещь. Если хорошо подумать, то видить трафик соседней машины не очень хорошо с точки зрения безопасности.

Как-то непохоже ведь трафик, идущий в интернет через wan прекрасно виден. А проблема похоже именно с локальным трафиком.

После этого убедиться, что счетчики правил не 0.

С этим все в порядке. Проверил.

Или сделай открытую сеть и будет все видно :)

Попробовал. Ничего не изменилось. Также пробовал роутер к ноуту с wireshark подключать проводом по ethernet, что также не помогло.

С другой стороны, а почему бы на роутере не запустить tcpdump?

Это самый простой и запасной вариант, но хотелось бы разобраться с TEE и докопаться до сути.

Для Wireshark есть подсказки как удаленно захватывать трафик через tcpdump (wireshark запихивать на роутер значительно сложнее).

А вот про это не знал. За информацию спасибо. Естественно на роутер wireshark не стоит засовывать).

max80
(09.01.18 02:26:12 MSK) автор топика

Ответ на: комментарий от max80 09.01.18 02:26:12 MSK

Вроде по умолчанию на openwrt net.bridge.bridge-nf-call-iptables=0, а если вы пытаетесь ловить трафик между двумя wi-fi клиентами, там может там вобще этот тарфик до ядра не доходит (не крутит счётчик пакетов на интерфейсе)...

mky ★★★★★
(09.01.18 23:12:11 MSK)

Ответ на: комментарий от mky 09.01.18 23:12:11 MSK

Огромнейшее вам спасибо!

Разобрался.

max80
(11.01.18 07:09:13 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Антиспуфинг для клиентов, которые подключаются по BGP

Admin

Как пустить определённые сайты через TOR или VPN на OpenWRT

→

Похожие темы