Jump to content
Калькуляторы

tcpdump не видит часть траффика на VLAN

Сегодня в процессе дебага обратил внимание

 

tcpdump -ee -nn -i eth4.3078 host 192.168.134.21 -c 100 (видно только исход с роутера)

15:32:59.864329 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 818: 5.9.238.20.80 > 192.168.134.21.42153: Flags [P.], seq 130320:131072, ack 1, win 57, options [nop,nop,TS val 276010223 ecr 419163833], length 752
15:33:00.117079 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 131072:132520, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448
15:33:00.117086 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 132520:133968, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448
15:33:00.117090 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 133968:135416, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448
15:33:00.117094 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 135416:136864, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448
15:33:00.117097 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 136864:138312, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448
15:33:00.117101 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 138312:139760, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448
15:33:00.117104 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 139760:141208, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448
15:33:00.117155 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 141208:142656, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448
15:33:00.117160 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 142656:144104, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448

 

На родительском интерфейсе

 

tcpdump -ee -nn -i eth4 host 192.168.134.21 -c 100

15:33:07.516368 f8:d1:11:a1:d5:d3 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.134.21.42153 > 5.9.238.20.80: Flags [.], ack 53577, win 7059, options [nop,nop,TS val 419171486 ecr 276012136], length 0
15:33:07.516707 f8:d1:11:a1:d5:d3 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.134.21.42153 > 5.9.238.20.80: Flags [.], ack 56473, win 7059, options [nop,nop,TS val 419171486 ecr 276012136], length 0
15:33:07.516856 f8:d1:11:a1:d5:d3 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.134.21.42153 > 5.9.238.20.80: Flags [.], ack 59369, win 7059, options [nop,nop,TS val 419171487 ecr 276012136], length 0
15:33:07.517086 f8:d1:11:a1:d5:d3 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.134.21.42153 > 5.9.238.20.80: Flags [.], ack 62265, win 7059, options [nop,nop,TS val 419171487 ecr 276012136], length 0
15:33:07.517337 f8:d1:11:a1:d5:d3 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.134.21.42153 > 5.9.238.20.80: Flags [.], ack 65161, win 7059, options [nop,nop,TS val 419171487 ecr 276012136], length 0
15:33:07.517651 f8:d1:11:a1:d5:d3 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.134.21.42153 > 5.9.238.20.80: Flags [.], ack 68057, win 7059, options [nop,nop,TS val 419171487 ecr 276012136], length 0
15:33:07.517815 f8:d1:11:a1:d5:d3 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.134.21.42153 > 5.9.238.20.80: Flags [.], ack 70953, win 7059, options [nop,nop,TS val 419171488 ecr 276012136], length 0

 

Пока-что я никак не могу это понять

При этом по факту траффик ходит в обе стороны

 

Нагрузки на сервер нет, сетевка

ethtool -i eth4
driver: ixgbe
version: 3.22.3
firmware-version: 0x61c10001
bus-info: 0000:05:00.0
supports-statistics: yes
supports-test: yes
supports-eeprom-access: yes
supports-register-dump: yes
supports-priv-flags: no

 

 

Какой-нибудь ВЛАН оффлоад или что то еще?

 

Вроде-бы ничего не менялось достаточно долго уже

ядро

Linux  3.17.4-1.el6.elrepo.x86_64 #1 SMP Sat Nov 22 09:31:20 EST 2014 x86_64 x86_64 x86_64 GNU/Linux

Share this post


Link to post
Share on other sites

А так:

tcpdump -e -n -c 100 -i eth4.3078 src ip 192.168.134.21 or dst ip 192.168.134.21

 

При этом убедись что NAT у тебя там нет, а то он может как раз половину адресов и убирать.

Share this post


Link to post
Share on other sites

А так:

tcpdump -e -n -c 100 -i eth4.3078 src ip 192.168.134.21 or dst ip 192.168.134.21

 

При этом убедись что NAT у тебя там нет, а то он может как раз половину адресов и убирать.

Дело в том что я начал смотреть по маку (а ебтаблезов с мак-нат точно нет)

IP пингается но в дампе ether host MAC - траффик только в одну сторону

 

tcpdump  -e -n  -c 100  -i eth4.3078 src ip  192.168.134.21 or dst ip 192.168.134.21

наверно так

tcpdump  -e -n  -c 100  -i eth4.3078 src host 192.168.134.21 or dst host 192.168.134.21

Показывает в одну сторону только - ОТ роутера к клиенту.

Нат есть но он дальше и собственно, даже если сделать tcpdump -e -n -c 100 -i eth4.3078 я не вижу никаого траффика К клиенту (что должно быть даже если чьо то натится

 

Странно все очень

Share this post


Link to post
Share on other sites

Никогда не пользуюсь "host". Тогда ip src / ip dst.

Возможно линукс как то в обход пускает что в бпф/пкап не попадает.

Share this post


Link to post
Share on other sites

Никогда не пользуюсь "host". Тогда ip src / ip dst.

Возможно линукс как то в обход пускает что в бпф/пкап не попадает.

Хм

tcpdump  -e -n  -c 100  -i eth4.3078 src ip  192.168.134.21 or dst ip 192.168.134.21
tcpdump: syntax error

 

под Mac OS то же самое

Share this post


Link to post
Share on other sites

tcpdump -e -n -c 100 -i vlan777 ip src 192.168.134.21 or ip dst 192.168.134.21

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on vlan777, link-type EN10MB (Ethernet), capture size 65535 bytes

Share this post


Link to post
Share on other sites

А что говорит ethtool -k и ip -d link list?

P.S. я вон вообще недавно сюрприз обнаружил - http://www.spinics.net/lists/lartc/msg23421.html

на первый взгляд - ничего необычного нет

 

 

ethtool -k  eth4
Features for eth4:
rx-checksumming: on
tx-checksumming: on
      	tx-checksum-ipv4: on
      	tx-checksum-ip-generic: off [fixed]
      	tx-checksum-ipv6: on
      	tx-checksum-fcoe-crc: off [fixed]
      	tx-checksum-sctp: on
scatter-gather: on
      	tx-scatter-gather: on
      	tx-scatter-gather-fraglist: off [fixed]
tcp-segmentation-offload: off
      	tx-tcp-segmentation: off
      	tx-tcp-ecn-segmentation: off [fixed]
      	tx-tcp6-segmentation: off
udp-fragmentation-offload: off [fixed]
generic-segmentation-offload: off
generic-receive-offload: off
large-receive-offload: off
rx-vlan-offload: off
tx-vlan-offload: off
ntuple-filters: on
receive-hashing: on
highdma: on [fixed]
rx-vlan-filter: on [fixed]
vlan-challenged: off [fixed]
tx-lockless: off [fixed]
netns-local: off [fixed]
tx-gso-robust: off [fixed]
tx-fcoe-segmentation: off [fixed]
tx-gre-segmentation: off [fixed]
tx-ipip-segmentation: off [fixed]
tx-sit-segmentation: off [fixed]
tx-udp_tnl-segmentation: off [fixed]
tx-mpls-segmentation: off [fixed]
fcoe-mtu: off [fixed]
tx-nocache-copy: off
loopback: off [fixed]
rx-fcs: off [fixed]
rx-all: off [fixed]
tx-vlan-stag-hw-insert: off [fixed]
rx-vlan-stag-hw-parse: off [fixed]
rx-vlan-stag-filter: off [fixed]
l2-fwd-offload: off [fixed]
busy-poll: on [fixed]

6: eth4: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
   link/ether 90:e2:ba:4a:d3:3c brd ff:ff:ff:ff:ff:ff

 

Хорошим впросом будет почему PROMISC =) Я пока не знаю

Share this post


Link to post
Share on other sites

length 70:

 

а если -s 65000 добавить?

На родительском интерфейсе (там 300+ вланов и траффика под 2 гига - не много но дампать уже неудобно)

tcpdump  -nn -ee -s 65000 -i eth4 -c 10000 | grep 3078
tcpdump: WARNING: eth4: no IPv4 address assigned
Warning: Kernel filter failed: Bad address
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth4, link-type EN10MB (Ethernet), capture size 65000 bytes
15:34:26.719874 e8:94:f6:7b:ad:7d > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.142.48.54359 > 178.187.117.130.24502: Flags [s], seq 1202332650, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
15:34:26.720144 90:e2:ba:4a:d3:3c > e8:94:f6:7b:ad:7d, ethertype 802.1Q (0x8100), length 388: vlan 3078, p 0, ethertype IPv4, 78.179.254.147.49271 > 192.168.142.48.57313: UDP, length 342
15:34:26.724109 90:e2:ba:4a:d3:3c > e8:94:f6:7b:ad:7d, ethertype 802.1Q (0x8100), length 66: vlan 3078, p 0, ethertype IPv4, 78.179.254.147.49271 > 192.168.142.48.57313: UDP, length 20
15:34:26.725130 90:e2:ba:4a:d3:3c > e8:94:f6:7b:ad:7d, ethertype 802.1Q (0x8100), length 66: vlan 3078, p 0, ethertype IPv4, 78.179.254.147.49271 > 192.168.142.48.57313: UDP, length 20
15:34:26.727319 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 975429763:975431211, ack 1754918519, win 57, options [nop,nop,TS val 297632671 ecr 1279736280], length 1448
15:34:26.727324 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 1448:2896, ack 1, win 57, options [nop,nop,TS val 297632671 ecr 1279736280], length 1448
15:34:26.727384 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 2896:4344, ack 1, win 57, options [nop,nop,TS val 297632671 ecr 1279736280], length 1448
15:34:26.727392 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 4344:5792, ack 1, win 57, options [nop,nop,TS val 297632671 ecr 1279736280], length 1448
<пропущено повторение>
15:34:26.727813 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 49232:50680, ack 1, win 57, options [nop,nop,TS val 297632671 ecr 1279736280], length 1448
15:34:26.727817 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 50680:52128, ack 1, win 57, options [nop,nop,TS val 297632671 ecr 1279736280], length 1448
15:34:26.728103 90:f6:52:5a:5f:43 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.136.224.42693 > 5.9.238.20.80: Flags [.], ack 2896, win 7059, options [nop,nop,TS val 1279736378 ecr 297632671], length 0
15:34:26.728340 90:f6:52:5a:5f:43 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.136.224.42693 > 5.9.238.20.80: Flags [.], ack 5792, win 7059, options [nop,nop,TS val 1279736379 ecr 297632671], length 0
15:34:26.728508 90:f6:52:5a:5f:43 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.136.224.42693 > 5.9.238.20.80: Flags [.], ack 8688, win 7059, options [nop,nop,TS val 1279736379 ecr 297632671], length 0
15:34:26.728790 90:f6:52:5a:5f:43 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.136.224.42693 > 5.9.238.20.80: Flags [.], ack 11584, win 7059, options [nop,nop,TS val 1279736379 ecr 297632671], length 0
15:34:26.728994 90:f6:52:5a:5f:43 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.136.224.42693 > 5.9.238.20.80: Flags [.], ack 14480, win 7059, options [nop,nop,TS val 1279736379 ecr 297632671], length 0
15:34:26.729164 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 52128:53576, ack 1, win 57, options [nop,nop,TS val 297632672 ecr 1279736378], length 1448
15:34:26.729235 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 53576:55024, ack 1, win 57, options [nop,nop,TS val 297632672 ecr 1279736378], length 1448
15:34:26.729244 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 55024:56472, ack 1, win 57, options [nop,nop,TS val 297632672 ecr 1279736378], length 1448
15:34:26.729252 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [P.], seq 56472:57920, ack 1, win 57, options [nop,nop,TS val 297632672 ecr 1279736378], length 1448
15:34:26.729309 90:f6:52:5a:5f:43 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.136.224.42693 > 5.9.238.20.80: Flags [.], ack 17376, win 7059, options [nop,nop,TS val 1279736380 ecr 297632671], length 0
15:34:26.729519 90:f6:52:5a:5f:43 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.136.224.42693 > 5.9.238.20.80: Flags [.], ack 20272, win 7059, options [nop,nop,TS val 1279736380 ecr 297632671], length 0

Т е как-бы вроде видно в обе стороны но при этом дампать на корневом интерфейсе не хочется

 

На влане

tcpdump  -nn -ee -s 65000 -i eth4.3078  -c 100
Warning: Kernel filter failed: Bad address
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth4.3078, link-type EN10MB (Ethernet), capture size 65000 bytes
15:35:12.595727 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 998611379:998612827, ack 1754918519, win 57, options [nop,nop,TS val 297644139 ecr 1279782242], length 1448
15:35:12.595732 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 1448:2896, ack 1, win 57, options [nop,nop,TS val 297644139 ecr 1279782242], length 1448
15:35:12.595735 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 2896:4344, ack 1, win 57, options [nop,nop,TS val 297644139 ecr 1279782242], length 1448
15:35:12.595739 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.136.224.42693: Flags [P.], seq 4344:5792, ack 1, win 57, options [nop,nop,TS val 297644139 ecr 1279782242], length 1448
15:35:12.595798 ba:4a:d3:3c:90:f6 > 90:e2:ba:4a:90:e2, ethertype Unknown (0x525a), length 70:
      	0x0000:  5f43 0800 4500 0034 7c67 4000 3f06 82b6  _C..E..4|g@.?...
      	0x0010:  c0a8 88e0 0509 ee14 a6c5 0050 6899 ee77  ...........Ph..w
      	0x0020:  3b85 11f3 8010 1b93 d710 0000 0101 080a  ;...............
      	0x0030:  4c47 ed64 11bd b06a                      LG.d...j
....
<тут пропущено>
15:35:12.611406 ba:4a:d3:3c:74:d4 > 90:e2:ba:4a:90:e2, ethertype Unknown (0x3507), length 629:
      	0x0000:  777b 0800 4500 0263 5d25 4000 8006 3f6e  w{..E..c]%@...?n
      	0x0010:  c0a8 8d87 c1bb 4c16 f759 0050 b079 3dbb  ......L..Y.P.y=.
      	0x0020:  598f a3d9 5018 04be d4b2 0000 4745 5420  Y...P.......GET.
      	0x0030:  2f65 6130 3938 6137 6164 3461 6630 6666  /ea098a7ad4af0ff
      	0x0040:  3764 3339 6337 6138 3538 3733 3731 3134  7d39c7a858737114
      	0x0050:  345f 6d65 676f 676f 2f76 6f64 2f66 732f  4_megogo/vod/fs/
      	0x0060:  6f2f 3334 3831 3334 3531 2f70 2f43 5550  o/34813451/p/CUP
      	0x0070:  4552 5449 4e4f 2f62 2f34 3530 5f39 3030  ERTINO/b/450_900
      	0x0080:  5f31 3335 305f 3135 3030 5f32 3030 305f  _1350_1500_2000_
      	0x0090:  3530 3030 2f75 5f73 6964 2f72 6175 7675  5000/u_sid/rauvu
      	0x00a0:  6739 306e 7132 7373 7036 3961 3575 6636  g90nq2ssp69a5uf6
      	0x00b0:  6d37 6834 342f 755f 7569 642f 302f 755f  m7h44/u_uid/0/u_
      	0x00c0:  766f 642f 332f 755f 6465 7669 6365 2f66  vod/3/u_device/f
      	0x00d0:  6c61 7368 2f67 2f75 612f 612f 302f 7479  lash/g/ua/a/0/ty
      	0x00e0:  7065 2e61 6d6c 7374 2f6d 6564 6961 2d73  pe.amlst/media-s
      	0x00f0:  6964 3335 3239 3238 342d 6235 3030 3030  id3529284-b50000
      	0x0100:  3030 5f35 372e 7473 2048 5454 502f 312e  00_57.ts.HTTP/1.
      	0x0110:  310d 0a48 6f73 743a 2076 7331 322e 7663  1..Host:.vs12.vc
      	0x0120:  646e 2e62 697a 0d0a 5573 6572 2d41 6765  dn.biz..User-Age
      	0x0130:  6e74 3a20 4d6f 7a69 6c6c 612f 352e 3020  nt:.Mozilla/5.0.
      	0x0140:  2857 696e 646f 7773 204e 5420 362e 333b  (Windows.NT.6.3;
      	0x0150:  2057 4f57 3634 3b20 7276 3a34 372e 3029  .WOW64;.rv:47.0)
      	0x0160:  2047 6563 6b6f 2f32 3031 3030 3130 3120  .Gecko/20100101.
      	0x0170:  4669 7265 666f 782f 3437 2e30 0d0a 4163  Firefox/47.0..Ac
      	0x0180:  6365 7074 3a20 7465 7874 2f68 746d 6c2c  cept:.text/html,
      	0x0190:  6170 706c 6963 6174 696f 6e2f 7868 746d  application/xhtm
      	0x01a0:  6c2b 786d 6c2c 6170 706c 6963 6174 696f  l+xml,applicatio
      	0x01b0:  6e2f 786d 6c3b 713d 302e 392c 2a2f 2a3b  n/xml;q=0.9,*/*;
      	0x01c0:  713d 302e 380d 0a41 6363 6570 742d 4c61  q=0.8..Accept-La
      	0x01d0:  6e67 7561 6765 3a20 7275 2d52 552c 7275  nguage:.ru-RU,ru
      	0x01e0:  3b71 3d30 2e38 2c65 6e2d 5553 3b71 3d30  ;q=0.8,en-US;q=0
      	0x01f0:  2e35 2c65 6e3b 713d 302e 330d 0a41 6363  .5,en;q=0.3..Acc
      	0x0200:  6570 742d 456e 636f 6469 6e67 3a20 677a  ept-Encoding:.gz
      	0x0210:  6970 2c20 6465 666c 6174 650d 0a52 6566  ip,.deflate..Ref
      	0x0220:  6572 6572 3a20 6874 7470 3a2f 2f73 372e  erer:.http://s7.
      	0x0230:  7663 646e 2e62 697a 2f73 7461 7469 632f  vcdn.biz/static/
      	0x0240:  662f 3734 3837 3139 3137 310d 0a43 6f6e  f/748719171..Con
      	0x0250:  6e65 6374 696f 6e3a 206b 6565 702d 616c  nection:.keep-al
      	0x0260:  6976 650d 0a0d 0a                        ive....

 

Судя по последнему куску - это таки HTTP

но пока не могу понять как оно так вышло

ethertype 0x3507

я найти не смог что оно такое.

 

При этом на других интрефейсах я тоже вижу траффик с того же мака - ba:4a:d3:3c:74:d4

Share this post


Link to post
Share on other sites

Забавно но так работает

 

tcpdump  -n -i eth4 -s 65535  -ee  -c 10000000 | grep 04:8d:38:c3:dc:06

16:36:46.418687 90:e2:ba:4a:d3:3c > 04:8d:38:c3:dc:06, ethertype 802.1Q (0x8100), length 95: vlan 3078, p 0, ethertype IPv4, 178.217.69.126.47135 > 192.168.137.119.ott: Flags [P.], seq 106:143, ack 149, win 64731, length 37
16:36:46.495619 90:e2:ba:4a:d3:3c > 04:8d:38:c3:dc:06, ethertype 802.1Q (0x8100), length 71: vlan 3078, p 0, ethertype IPv4, 40.127.160.178.50006 > 192.168.137.119.ft-role: Flags [P.], seq 118:131, ack 126, win 29200, length 13
16:36:46.496837 04:8d:38:c3:dc:06 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 64: vlan 3078, p 0, ethertype IPv4, 192.168.137.119.ft-role > 40.127.160.178.50006: Flags [.], ack 131, win 65405, length 0
16:36:46.496938 04:8d:38:c3:dc:06 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 64: vlan 3078, p 0, ethertype IPv4, 192.168.137.119.ft-role > 40.127.160.178.50006: Flags [P.], seq 126:130, ack 131, win 65405, length 4
16:36:46.603374 90:e2:ba:4a:d3:3c > 04:8d:38:c3:dc:06, ethertype 802.1Q (0x8100), length 192: vlan 3078, p 0, ethertype IPv4, 157.55.235.147.https > 192.168.137.119.kofax-svr: Flags [P.], seq 1259:1393, ack 7884, win 33580, length 134
16:36:46.605093 04:8d:38:c3:dc:06 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 94: vlan 3078, p 0, ethertype IPv4, 192.168.137.119.kofax-svr > 157.55.235.147.https: Flags [P.], seq 7884:7920, ack 1393, win 64143, length 36
16:36:46.636043 04:8d:38:c3:dc:06 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 64: vlan 3078, p 0, ethertype IPv4, 192.168.137.119.ott > 178.217.69.126.47135: Flags [.], ack 157, win 65379, length 0

Т е дело в том что на уровне саб-девайса что-то не то а на уровне родительского - уже как-бы все хорошо

Интересно только что (

Share this post


Link to post
Share on other sites

У меня подозрение на reorder_hdr. Раз offload отключен.

Однако

 

ip link set eth4.3099  type vlan reorder_hdr off

таки работает

 

Странно это - раньше поведение по-умолчанию было другим?

Я не могу сказать когда последний раз что-то дампал на вланах но вроде-бы при Сталине раньше такого поведения не было

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.