Wohin geht das von iptables-mod-tee geklonte Paket nach dem Klonen?

Question

Das Paketgeklont durch TEE,ist so eingestellt, dass es von Conntrack nicht verfolgt wird,verhindert werden erneut dupliziertund emittiert durch dielokale AusgabeTeil des Routing-Stacks, also zuerst gesehen von raw/OUTPUT (Sie können auch auf diesePaketfluss im Netfilter und allgemeines Netzwerkschema: das wäre direkt nach dem lokalen Prozess). Dies wäre dasselbe, wenn die Duplizierung vorher (z. B. in mangle oder raw PREROUTING) für ein geroutetes Paket durchgeführt wurde. Dies macht es schwierig (abernicht unmöglich) wie ein zusätzliches NAT behandelt werden, da es nicht verfolgt wird und sich nur schwer vom Original unterscheiden lässt.

Hier ist ein BeispielVERFOLGEN(unter Verwendung der Version von iptables-legacy) Erfassung eines Pings von 192.168.0.2 nach 8.8.8.8 in einem Setup ähnlich dem von OP: Die Erfassung erfolgte auf dem Router unter Verwendung von iptables -t raw -A OUTPUT -j TRACE. Das OriginalweitergeleitetPaket wird nicht angezeigt, da es von Raw/PREROUTING erfasst werden müsste, wodurch die obige Erklärung bestätigt wird, dass es über die Ausgabe erfolgt.

TRACE: raw:OUTPUT:policy:2 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1 
TRACE: mangle:OUTPUT:policy:1 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1 
TRACE: mangle:POSTROUTING:policy:2 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1

Answer 1

Das Paketgeklont durch TEE,ist so eingestellt, dass es von Conntrack nicht verfolgt wird,verhindert werden erneut dupliziertund emittiert durch dielokale AusgabeTeil des Routing-Stacks, also zuerst gesehen von raw/OUTPUT (Sie können auch auf diesePaketfluss im Netfilter und allgemeines Netzwerkschema: das wäre direkt nach dem lokalen Prozess). Dies wäre dasselbe, wenn die Duplizierung vorher (z. B. in mangle oder raw PREROUTING) für ein geroutetes Paket durchgeführt wurde. Dies macht es schwierig (abernicht unmöglich) wie ein zusätzliches NAT behandelt werden, da es nicht verfolgt wird und sich nur schwer vom Original unterscheiden lässt.

Hier ist ein BeispielVERFOLGEN(unter Verwendung der Version von iptables-legacy) Erfassung eines Pings von 192.168.0.2 nach 8.8.8.8 in einem Setup ähnlich dem von OP: Die Erfassung erfolgte auf dem Router unter Verwendung von iptables -t raw -A OUTPUT -j TRACE. Das OriginalweitergeleitetPaket wird nicht angezeigt, da es von Raw/PREROUTING erfasst werden müsste, wodurch die obige Erklärung bestätigt wird, dass es über die Ausgabe erfolgt.

TRACE: raw:OUTPUT:policy:2 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1 
TRACE: mangle:OUTPUT:policy:1 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1 
TRACE: mangle:POSTROUTING:policy:2 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1

Wohin geht das von iptables-mod-tee geklonte Paket nach dem Klonen?

Antwort1

verwandte Informationen