Куда попадает пакет, клонированный iptables-mod-tee, после клонирования?

Question

Пакетклонировано через TEE,настроен на отслеживание conntrack,предотвращено быть дублируется снова, и испускается черезлокальный выводчасть стека маршрутизации, поэтому впервые отображается raw/OUTPUT (вы также можете обратиться к этомуПоток пакетов в Netfilter и схема General Networking: это будет сразу после локального процесса). Это было бы то же самое, если бы дублирование было сделано раньше (например, в mangle или raw PREROUTING) для маршрутизируемого пакета. Это затрудняет (ноне возможно) получить дополнительную обработку как дополнительный nat, поскольку он не будет отслеживаться и его трудно отличить от оригинала.

Вот примерСЛЕД(используя версию iptables-legacy) захват в настройке, аналогичной OP, пинга, выполненного с 192.168.0.2 на 8.8.8.8: захват был на маршрутизаторе с использованием iptables -t raw -A OUTPUT -j TRACE. Оригинальныйразосланныйпакет не появится, так как его пришлось бы перехватить из raw/PREROUTING, тем самым подтверждая приведенное выше объяснение, что это сделано из output.

TRACE: raw:OUTPUT:policy:2 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1 
TRACE: mangle:OUTPUT:policy:1 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1 
TRACE: mangle:POSTROUTING:policy:2 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1

Answer 1

Пакетклонировано через TEE,настроен на отслеживание conntrack,предотвращено быть дублируется снова, и испускается черезлокальный выводчасть стека маршрутизации, поэтому впервые отображается raw/OUTPUT (вы также можете обратиться к этомуПоток пакетов в Netfilter и схема General Networking: это будет сразу после локального процесса). Это было бы то же самое, если бы дублирование было сделано раньше (например, в mangle или raw PREROUTING) для маршрутизируемого пакета. Это затрудняет (ноне возможно) получить дополнительную обработку как дополнительный nat, поскольку он не будет отслеживаться и его трудно отличить от оригинала.

Вот примерСЛЕД(используя версию iptables-legacy) захват в настройке, аналогичной OP, пинга, выполненного с 192.168.0.2 на 8.8.8.8: захват был на маршрутизаторе с использованием iptables -t raw -A OUTPUT -j TRACE. Оригинальныйразосланныйпакет не появится, так как его пришлось бы перехватить из raw/PREROUTING, тем самым подтверждая приведенное выше объяснение, что это сделано из output.

TRACE: raw:OUTPUT:policy:2 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1 
TRACE: mangle:OUTPUT:policy:1 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1 
TRACE: mangle:POSTROUTING:policy:2 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1

Куда попадает пакет, клонированный iptables-mod-tee, после клонирования?

решение1

Связанный контент