LINUX.ORG.RU
ФорумAdmin

Клонирование траффика на уровне L2

 , ,


0

1

Всем привет!

Коллеги, подскажите пожалуйста, можно ли средствами ebtables организовать клонирование траффика с хостового сетевого интерфейса на Mac-адрес другой машины?

Iptables не подошел, ввиду того, что трафф нужно остылать именно на мак.

Простого решения нет.

Наверно можно миррорить трафик через мост в какой-нибудь gre-туннель

Возможно в openvswitch есть решение на базе rspan.

vel ★★★★★ ()
Последнее исправление: vel (всего исправлений: 1)

Iptables не подошел, ввиду того, что трафф нужно остылать именно на мак.

И в чём проблема? Статическую запись с ненужным IP делаешь в arp-таблице, и всё.

AS ★★★★★ ()
Ответ на: комментарий от AS

Глянул вики, явных преимуществ не заметил. iptables же это классика. Да и синтаксис какой-то попсовый у nft

Deleted ()
Ответ на: комментарий от Deleted

Глянул вики, явных преимуществ не заметил

Вообще, это просто замена. В какой-то момент iptables/ebtables, очевидно, забросят.

AS ★★★★★ ()
Ответ на: комментарий от Deleted

Есть годный мануал на русише по iptables?

РКН замучал с «телегой»? :)
А так всю жизнь существует «iptables tutorial» Читать долго, но полезно.

anc ★★★★★ ()
Ответ на: комментарий от AS

Вообще, это просто замена.

Пробовали в проде? Я честно пока стремаюсь в прод выносить.
Лично для меня ipfw в ipchains было легко перевезти. ipchains в iptables достаточно сложно. У nftables вроде много подводных камней. Повторюсь, сами пробовали в проде? Просто интересно.

anc ★★★★★ ()
Ответ на: комментарий от Deleted

как раз админы и программисты чаще всего пишут так. потому что в оригинале - traffic. меня вот коробит русскоязычный неуклюжий перевёртыш этого слова.

Iron_Bug ★★★★★ ()

а как ты будешь «отсылать на mac», если у тебя там айпишника нет соответствующего? ну, на мак он придёт. а дальше кернел его отбросит, как чужой. только если захватывать всё, как promiscuous. но тогда и обработки не будет.

Iron_Bug ★★★★★ ()
Ответ на: комментарий от Fess88

А если на уровне IP - tcpdump-ом дампить, и netcat-ом лить на нужный хост?

Для этого есть специализированые тулзы: tcpreplay, tcprewrite

zaz ★★★★ ()
Ответ на: комментарий от voltmod

В гугле ничего полезного нет.
Т.е. полного зеркалирования, как на свичах средствами линукса вродь как готовых вариантов и нет.

Deleted ()
Ответ на: комментарий от Deleted

Т.е. полного зеркалирования, как на свичах средствами линукса вродь как готовых вариантов и нет.

А в openvswitch вроде как даже rspan есть.

Мост с нулевым «forward delay» используется много лет для клонирования трафика на уровне L2.

vel ★★★★★ ()

Провайдер к приходу пакето-головой готовится?

SR_team ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin