Клонирование траффика на уровне L2

0

1

Всем привет!

Коллеги, подскажите пожалуйста, можно ли средствами ebtables организовать клонирование траффика с хостового сетевого интерфейса на Mac-адрес другой машины?

Iptables не подошел, ввиду того, что трафф нужно остылать именно на мак.

Ссылка

←	Как перечитать конфиг nginx с помощью systemd?

Соединиться с прокси-сервером. Debian 9 dante

→

траффик

Хотя чему тут удивляться-то? Не слесарь ведь. А так... Админ.

Deleted
(07.05.18 09:01:11 MSK)

Простого решения нет.

Наверно можно миррорить трафик через мост в какой-нибудь gre-туннель

Возможно в openvswitch есть решение на базе rspan.

vel ★★★★★
(07.05.18 10:29:45 MSK)
Последнее исправление: vel 07.05.18 10:30:06 MSK (всего исправлений: 1)

Ответ на: комментарий от vel 07.05.18 10:29:45 MSK

Спасибо!

Буду копать.

А если на уровне IP - tcpdump-ом дампить, и netcat-ом лить на нужный хост?

Fess88
(07.05.18 10:32:51 MSK) автор топика

Ответ на: комментарий от Fess88 07.05.18 10:32:51 MSK

на уровне IP - «iptables -j TEE»

vel ★★★★★
(07.05.18 10:34:33 MSK)

Ссылка

Iptables не подошел, ввиду того, что трафф нужно остылать именно на мак.

И в чём проблема? Статическую запись с ненужным IP делаешь в arp-таблице, и всё.

AS ★★★★★
(07.05.18 18:40:43 MSK)

Ответ на: комментарий от AS 07.05.18 18:40:43 MSK

Есть годный мануал на русише по iptables? Что-то всё руки не доходят, а надо бы.

Deleted
(07.05.18 18:44:45 MSK)

Ответ на: комментарий от Deleted 07.05.18 18:44:45 MSK

Есть годный мануал на русише по iptables?

Уже можно по nftables сразу искать. :-)

AS ★★★★★
(07.05.18 18:46:28 MSK)

Ответ на: комментарий от AS 07.05.18 18:46:28 MSK

Глянул вики, явных преимуществ не заметил. iptables же это классика. Да и синтаксис какой-то попсовый у nft

Deleted
(07.05.18 19:01:06 MSK)

Ответ на: комментарий от Deleted 07.05.18 19:01:06 MSK

Глянул вики, явных преимуществ не заметил

Вообще, это просто замена. В какой-то момент iptables/ebtables, очевидно, забросят.

AS ★★★★★
(07.05.18 19:08:19 MSK)

Ответ на: комментарий от Deleted 07.05.18 18:44:45 MSK

Есть годный мануал на русише по iptables?

РКН замучал с «телегой»? :)
А так всю жизнь существует «iptables tutorial» Читать долго, но полезно.

anc ★★★★★
(08.05.18 02:49:34 MSK)

Ссылка

Ответ на: комментарий от AS 07.05.18 19:08:19 MSK

Вообще, это просто замена.

Пробовали в проде? Я честно пока стремаюсь в прод выносить.
Лично для меня ipfw в ipchains было легко перевезти. ipchains в iptables достаточно сложно. У nftables вроде много подводных камней. Повторюсь, сами пробовали в проде? Просто интересно.

anc ★★★★★
(08.05.18 02:58:40 MSK)

Ответ на: комментарий от anc 08.05.18 02:58:40 MSK

Пробовали в проде?

Пока нет.

AS ★★★★★
(08.05.18 08:30:57 MSK)

Ссылка

Ответ на: комментарий от Deleted 07.05.18 09:01:11 MSK

как раз админы и программисты чаще всего пишут так. потому что в оригинале - traffic. меня вот коробит русскоязычный неуклюжий перевёртыш этого слова.

Iron_Bug ★★★★★
(08.05.18 08:47:06 MSK)

Ссылка

а как ты будешь «отсылать на mac», если у тебя там айпишника нет соответствующего? ну, на мак он придёт. а дальше кернел его отбросит, как чужой. только если захватывать всё, как promiscuous. но тогда и обработки не будет.

Iron_Bug ★★★★★
(08.05.18 08:52:33 MSK)