¿A dónde va el paquete clonado por iptables-mod-tee después de la clonación?

Question

El paqueteclonado a través de TEE,está configurado para que conntrack no lo rastree,impedido de ser duplicado de nuevo, y emitido a través delsalida localparte de la pila de enrutamiento, por lo que se ve por primera vez mediante raw/OUTPUT (también puede consultar esteFlujo de paquetes en Netfilter y esquema de redes generales: eso sería justo después del proceso local). Esto sería lo mismo si la duplicación se hubiera realizado antes (por ejemplo, en mangle o PREROUTING sin formato) para un paquete enrutado. Esto lo hace difícil (perono imposible) para recibir tratamiento adicional como un nat adicional, ya que no será rastreado y es difícil distinguirlo del original.

Aquí hay un ejemploRASTRO(usando la versión de iptables-legacy) captura en una configuración similar a la de OP de un ping realizado desde 192.168.0.2 a 8.8.8.8: la captura se realizó en el enrutador usando iptables -t raw -A OUTPUT -j TRACE. El originalenrutadoEl paquete no aparecerá ya que tendría que ser capturado desde raw/PREROUTING, validando así la explicación anterior que indica que se hizo desde la salida.

TRACE: raw:OUTPUT:policy:2 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1 
TRACE: mangle:OUTPUT:policy:1 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1 
TRACE: mangle:POSTROUTING:policy:2 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1

Answer 1

El paqueteclonado a través de TEE,está configurado para que conntrack no lo rastree,impedido de ser duplicado de nuevo, y emitido a través delsalida localparte de la pila de enrutamiento, por lo que se ve por primera vez mediante raw/OUTPUT (también puede consultar esteFlujo de paquetes en Netfilter y esquema de redes generales: eso sería justo después del proceso local). Esto sería lo mismo si la duplicación se hubiera realizado antes (por ejemplo, en mangle o PREROUTING sin formato) para un paquete enrutado. Esto lo hace difícil (perono imposible) para recibir tratamiento adicional como un nat adicional, ya que no será rastreado y es difícil distinguirlo del original.

Aquí hay un ejemploRASTRO(usando la versión de iptables-legacy) captura en una configuración similar a la de OP de un ping realizado desde 192.168.0.2 a 8.8.8.8: la captura se realizó en el enrutador usando iptables -t raw -A OUTPUT -j TRACE. El originalenrutadoEl paquete no aparecerá ya que tendría que ser capturado desde raw/PREROUTING, validando así la explicación anterior que indica que se hizo desde la salida.

TRACE: raw:OUTPUT:policy:2 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1 
TRACE: mangle:OUTPUT:policy:1 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1 
TRACE: mangle:POSTROUTING:policy:2 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1

¿A dónde va el paquete clonado por iptables-mod-tee después de la clonación?

Respuesta1

información relacionada