sirmax Posted August 26, 2016 · Report post Сегодня в процессе дебага обратил внимание tcpdump -ee -nn -i eth4.3078 host 192.168.134.21 -c 100 (видно только исход с роутера) 15:32:59.864329 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 818: 5.9.238.20.80 > 192.168.134.21.42153: Flags [P.], seq 130320:131072, ack 1, win 57, options [nop,nop,TS val 276010223 ecr 419163833], length 752 15:33:00.117079 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 131072:132520, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448 15:33:00.117086 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 132520:133968, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448 15:33:00.117090 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 133968:135416, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448 15:33:00.117094 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 135416:136864, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448 15:33:00.117097 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 136864:138312, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448 15:33:00.117101 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 138312:139760, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448 15:33:00.117104 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 139760:141208, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448 15:33:00.117155 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 141208:142656, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448 15:33:00.117160 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 142656:144104, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448 На родительском интерфейсе tcpdump -ee -nn -i eth4 host 192.168.134.21 -c 100 15:33:07.516368 f8:d1:11:a1:d5:d3 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.134.21.42153 > 5.9.238.20.80: Flags [.], ack 53577, win 7059, options [nop,nop,TS val 419171486 ecr 276012136], length 0 15:33:07.516707 f8:d1:11:a1:d5:d3 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.134.21.42153 > 5.9.238.20.80: Flags [.], ack 56473, win 7059, options [nop,nop,TS val 419171486 ecr 276012136], length 0 15:33:07.516856 f8:d1:11:a1:d5:d3 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.134.21.42153 > 5.9.238.20.80: Flags [.], ack 59369, win 7059, options [nop,nop,TS val 419171487 ecr 276012136], length 0 15:33:07.517086 f8:d1:11:a1:d5:d3 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.134.21.42153 > 5.9.238.20.80: Flags [.], ack 62265, win 7059, options [nop,nop,TS val 419171487 ecr 276012136], length 0 15:33:07.517337 f8:d1:11:a1:d5:d3 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.134.21.42153 > 5.9.238.20.80: Flags [.], ack 65161, win 7059, options [nop,nop,TS val 419171487 ecr 276012136], length 0 15:33:07.517651 f8:d1:11:a1:d5:d3 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.134.21.42153 > 5.9.238.20.80: Flags [.], ack 68057, win 7059, options [nop,nop,TS val 419171487 ecr 276012136], length 0 15:33:07.517815 f8:d1:11:a1:d5:d3 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.134.21.42153 > 5.9.238.20.80: Flags [.], ack 70953, win 7059, options [nop,nop,TS val 419171488 ecr 276012136], length 0 Пока-что я никак не могу это понять При этом по факту траффик ходит в обе стороны Нагрузки на сервер нет, сетевка ethtool -i eth4 driver: ixgbe version: 3.22.3 firmware-version: 0x61c10001 bus-info: 0000:05:00.0 supports-statistics: yes supports-test: yes supports-eeprom-access: yes supports-register-dump: yes supports-priv-flags: no Какой-нибудь ВЛАН оффлоад или что то еще? Вроде-бы ничего не менялось достаточно долго уже ядро Linux 3.17.4-1.el6.elrepo.x86_64 #1 SMP Sat Nov 22 09:31:20 EST 2014 x86_64 x86_64 x86_64 GNU/Linux Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
hsvt Posted August 26, 2016 · Report post Так вроде так всегда и должно быть? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted August 26, 2016 · Report post А так: tcpdump -e -n -c 100 -i eth4.3078 src ip 192.168.134.21 or dst ip 192.168.134.21 При этом убедись что NAT у тебя там нет, а то он может как раз половину адресов и убирать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sirmax Posted August 26, 2016 · Report post А так: tcpdump -e -n -c 100 -i eth4.3078 src ip 192.168.134.21 or dst ip 192.168.134.21 При этом убедись что NAT у тебя там нет, а то он может как раз половину адресов и убирать. Дело в том что я начал смотреть по маку (а ебтаблезов с мак-нат точно нет) IP пингается но в дампе ether host MAC - траффик только в одну сторону tcpdump -e -n -c 100 -i eth4.3078 src ip 192.168.134.21 or dst ip 192.168.134.21 наверно так tcpdump -e -n -c 100 -i eth4.3078 src host 192.168.134.21 or dst host 192.168.134.21 Показывает в одну сторону только - ОТ роутера к клиенту. Нат есть но он дальше и собственно, даже если сделать tcpdump -e -n -c 100 -i eth4.3078 я не вижу никаого траффика К клиенту (что должно быть даже если чьо то натится Странно все очень Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted August 26, 2016 · Report post Никогда не пользуюсь "host". Тогда ip src / ip dst. Возможно линукс как то в обход пускает что в бпф/пкап не попадает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sirmax Posted August 26, 2016 · Report post Никогда не пользуюсь "host". Тогда ip src / ip dst. Возможно линукс как то в обход пускает что в бпф/пкап не попадает. Хм tcpdump -e -n -c 100 -i eth4.3078 src ip 192.168.134.21 or dst ip 192.168.134.21 tcpdump: syntax error под Mac OS то же самое Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted August 26, 2016 · Report post tcpdump -e -n -c 100 -i vlan777 ip src 192.168.134.21 or ip dst 192.168.134.21 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vlan777, link-type EN10MB (Ethernet), capture size 65535 bytes Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SABRE Posted August 26, 2016 · Report post А что говорит ethtool -k и ip -d link list? P.S. я вон вообще недавно сюрприз обнаружил - http://www.spinics.net/lists/lartc/msg23421.html Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sirmax Posted August 27, 2016 · Report post А что говорит ethtool -k и ip -d link list? P.S. я вон вообще недавно сюрприз обнаружил - http://www.spinics.net/lists/lartc/msg23421.html на первый взгляд - ничего необычного нет ethtool -k eth4 Features for eth4: rx-checksumming: on tx-checksumming: on tx-checksum-ipv4: on tx-checksum-ip-generic: off [fixed] tx-checksum-ipv6: on tx-checksum-fcoe-crc: off [fixed] tx-checksum-sctp: on scatter-gather: on tx-scatter-gather: on tx-scatter-gather-fraglist: off [fixed] tcp-segmentation-offload: off tx-tcp-segmentation: off tx-tcp-ecn-segmentation: off [fixed] tx-tcp6-segmentation: off udp-fragmentation-offload: off [fixed] generic-segmentation-offload: off generic-receive-offload: off large-receive-offload: off rx-vlan-offload: off tx-vlan-offload: off ntuple-filters: on receive-hashing: on highdma: on [fixed] rx-vlan-filter: on [fixed] vlan-challenged: off [fixed] tx-lockless: off [fixed] netns-local: off [fixed] tx-gso-robust: off [fixed] tx-fcoe-segmentation: off [fixed] tx-gre-segmentation: off [fixed] tx-ipip-segmentation: off [fixed] tx-sit-segmentation: off [fixed] tx-udp_tnl-segmentation: off [fixed] tx-mpls-segmentation: off [fixed] fcoe-mtu: off [fixed] tx-nocache-copy: off loopback: off [fixed] rx-fcs: off [fixed] rx-all: off [fixed] tx-vlan-stag-hw-insert: off [fixed] rx-vlan-stag-hw-parse: off [fixed] rx-vlan-stag-filter: off [fixed] l2-fwd-offload: off [fixed] busy-poll: on [fixed] 6: eth4: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000 link/ether 90:e2:ba:4a:d3:3c brd ff:ff:ff:ff:ff:ff Хорошим впросом будет почему PROMISC =) Я пока не знаю Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nuclearcat Posted August 27, 2016 · Report post length 70: а если -s 65000 добавить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sirmax Posted August 27, 2016 · Report post length 70: а если -s 65000 добавить? На родительском интерфейсе (там 300+ вланов и траффика под 2 гига - не много но дампать уже неудобно) tcpdump -nn -ee -s 65000 -i eth4 -c 10000 | grep 3078 tcpdump: WARNING: eth4: no IPv4 address assigned Warning: Kernel filter failed: Bad address tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth4, link-type EN10MB (Ethernet), capture size 65000 bytes 15:34:26.719874 e8:94:f6:7b:ad:7d > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.142.48.54359 > 178.187.117.130.24502: Flags [s], seq 1202332650, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 15:34:26.720144 90:e2:ba:4a:d3:3c > e8:94:f6:7b:ad:7d, ethertype 802.1Q (0x8100), length 388: vlan 3078, p 0, ethertype IPv4, 78.179.254.147.49271 > 192.168.142.48.57313: UDP, length 342 15:34:26.724109 90:e2:ba:4a:d3:3c > e8:94:f6:7b:ad:7d, ethertype 802.1Q (0x8100), length 66: vlan 3078, p 0, ethertype IPv4, 78.179.254.147.49271 > 192.168.142.48.57313: UDP, length 20 15:34:26.725130 90:e2:ba:4a:d3:3c > e8:94:f6:7b:ad:7d, ethertype 802.1Q (0x8100), length 66: vlan 3078, p 0, ethertype IPv4, 78.179.254.147.49271 > 192.168.142.48.57313: UDP, length 20 15:34:26.727319 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 975429763:975431211, ack 1754918519, win 57, options [nop,nop,TS val 297632671 ecr 1279736280], length 1448 15:34:26.727324 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 1448:2896, ack 1, win 57, options [nop,nop,TS val 297632671 ecr 1279736280], length 1448 15:34:26.727384 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 2896:4344, ack 1, win 57, options [nop,nop,TS val 297632671 ecr 1279736280], length 1448 15:34:26.727392 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 4344:5792, ack 1, win 57, options [nop,nop,TS val 297632671 ecr 1279736280], length 1448 <пропущено повторение> 15:34:26.727813 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 49232:50680, ack 1, win 57, options [nop,nop,TS val 297632671 ecr 1279736280], length 1448 15:34:26.727817 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 50680:52128, ack 1, win 57, options [nop,nop,TS val 297632671 ecr 1279736280], length 1448 15:34:26.728103 90:f6:52:5a:5f:43 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.136.224.42693 > 5.9.238.20.80: Flags [.], ack 2896, win 7059, options [nop,nop,TS val 1279736378 ecr 297632671], length 0 15:34:26.728340 90:f6:52:5a:5f:43 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.136.224.42693 > 5.9.238.20.80: Flags [.], ack 5792, win 7059, options [nop,nop,TS val 1279736379 ecr 297632671], length 0 15:34:26.728508 90:f6:52:5a:5f:43 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.136.224.42693 > 5.9.238.20.80: Flags [.], ack 8688, win 7059, options [nop,nop,TS val 1279736379 ecr 297632671], length 0 15:34:26.728790 90:f6:52:5a:5f:43 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.136.224.42693 > 5.9.238.20.80: Flags [.], ack 11584, win 7059, options [nop,nop,TS val 1279736379 ecr 297632671], length 0 15:34:26.728994 90:f6:52:5a:5f:43 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.136.224.42693 > 5.9.238.20.80: Flags [.], ack 14480, win 7059, options [nop,nop,TS val 1279736379 ecr 297632671], length 0 15:34:26.729164 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 52128:53576, ack 1, win 57, options [nop,nop,TS val 297632672 ecr 1279736378], length 1448 15:34:26.729235 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 53576:55024, ack 1, win 57, options [nop,nop,TS val 297632672 ecr 1279736378], length 1448 15:34:26.729244 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 55024:56472, ack 1, win 57, options [nop,nop,TS val 297632672 ecr 1279736378], length 1448 15:34:26.729252 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [P.], seq 56472:57920, ack 1, win 57, options [nop,nop,TS val 297632672 ecr 1279736378], length 1448 15:34:26.729309 90:f6:52:5a:5f:43 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.136.224.42693 > 5.9.238.20.80: Flags [.], ack 17376, win 7059, options [nop,nop,TS val 1279736380 ecr 297632671], length 0 15:34:26.729519 90:f6:52:5a:5f:43 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.136.224.42693 > 5.9.238.20.80: Flags [.], ack 20272, win 7059, options [nop,nop,TS val 1279736380 ecr 297632671], length 0 Т е как-бы вроде видно в обе стороны но при этом дампать на корневом интерфейсе не хочется На влане tcpdump -nn -ee -s 65000 -i eth4.3078 -c 100 Warning: Kernel filter failed: Bad address tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth4.3078, link-type EN10MB (Ethernet), capture size 65000 bytes 15:35:12.595727 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 998611379:998612827, ack 1754918519, win 57, options [nop,nop,TS val 297644139 ecr 1279782242], length 1448 15:35:12.595732 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 1448:2896, ack 1, win 57, options [nop,nop,TS val 297644139 ecr 1279782242], length 1448 15:35:12.595735 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 2896:4344, ack 1, win 57, options [nop,nop,TS val 297644139 ecr 1279782242], length 1448 15:35:12.595739 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.136.224.42693: Flags [P.], seq 4344:5792, ack 1, win 57, options [nop,nop,TS val 297644139 ecr 1279782242], length 1448 15:35:12.595798 ba:4a:d3:3c:90:f6 > 90:e2:ba:4a:90:e2, ethertype Unknown (0x525a), length 70: 0x0000: 5f43 0800 4500 0034 7c67 4000 3f06 82b6 _C..E..4|g@.?... 0x0010: c0a8 88e0 0509 ee14 a6c5 0050 6899 ee77 ...........Ph..w 0x0020: 3b85 11f3 8010 1b93 d710 0000 0101 080a ;............... 0x0030: 4c47 ed64 11bd b06a LG.d...j .... <тут пропущено> 15:35:12.611406 ba:4a:d3:3c:74:d4 > 90:e2:ba:4a:90:e2, ethertype Unknown (0x3507), length 629: 0x0000: 777b 0800 4500 0263 5d25 4000 8006 3f6e w{..E..c]%@...?n 0x0010: c0a8 8d87 c1bb 4c16 f759 0050 b079 3dbb ......L..Y.P.y=. 0x0020: 598f a3d9 5018 04be d4b2 0000 4745 5420 Y...P.......GET. 0x0030: 2f65 6130 3938 6137 6164 3461 6630 6666 /ea098a7ad4af0ff 0x0040: 3764 3339 6337 6138 3538 3733 3731 3134 7d39c7a858737114 0x0050: 345f 6d65 676f 676f 2f76 6f64 2f66 732f 4_megogo/vod/fs/ 0x0060: 6f2f 3334 3831 3334 3531 2f70 2f43 5550 o/34813451/p/CUP 0x0070: 4552 5449 4e4f 2f62 2f34 3530 5f39 3030 ERTINO/b/450_900 0x0080: 5f31 3335 305f 3135 3030 5f32 3030 305f _1350_1500_2000_ 0x0090: 3530 3030 2f75 5f73 6964 2f72 6175 7675 5000/u_sid/rauvu 0x00a0: 6739 306e 7132 7373 7036 3961 3575 6636 g90nq2ssp69a5uf6 0x00b0: 6d37 6834 342f 755f 7569 642f 302f 755f m7h44/u_uid/0/u_ 0x00c0: 766f 642f 332f 755f 6465 7669 6365 2f66 vod/3/u_device/f 0x00d0: 6c61 7368 2f67 2f75 612f 612f 302f 7479 lash/g/ua/a/0/ty 0x00e0: 7065 2e61 6d6c 7374 2f6d 6564 6961 2d73 pe.amlst/media-s 0x00f0: 6964 3335 3239 3238 342d 6235 3030 3030 id3529284-b50000 0x0100: 3030 5f35 372e 7473 2048 5454 502f 312e 00_57.ts.HTTP/1. 0x0110: 310d 0a48 6f73 743a 2076 7331 322e 7663 1..Host:.vs12.vc 0x0120: 646e 2e62 697a 0d0a 5573 6572 2d41 6765 dn.biz..User-Age 0x0130: 6e74 3a20 4d6f 7a69 6c6c 612f 352e 3020 nt:.Mozilla/5.0. 0x0140: 2857 696e 646f 7773 204e 5420 362e 333b (Windows.NT.6.3; 0x0150: 2057 4f57 3634 3b20 7276 3a34 372e 3029 .WOW64;.rv:47.0) 0x0160: 2047 6563 6b6f 2f32 3031 3030 3130 3120 .Gecko/20100101. 0x0170: 4669 7265 666f 782f 3437 2e30 0d0a 4163 Firefox/47.0..Ac 0x0180: 6365 7074 3a20 7465 7874 2f68 746d 6c2c cept:.text/html, 0x0190: 6170 706c 6963 6174 696f 6e2f 7868 746d application/xhtm 0x01a0: 6c2b 786d 6c2c 6170 706c 6963 6174 696f l+xml,applicatio 0x01b0: 6e2f 786d 6c3b 713d 302e 392c 2a2f 2a3b n/xml;q=0.9,*/*; 0x01c0: 713d 302e 380d 0a41 6363 6570 742d 4c61 q=0.8..Accept-La 0x01d0: 6e67 7561 6765 3a20 7275 2d52 552c 7275 nguage:.ru-RU,ru 0x01e0: 3b71 3d30 2e38 2c65 6e2d 5553 3b71 3d30 ;q=0.8,en-US;q=0 0x01f0: 2e35 2c65 6e3b 713d 302e 330d 0a41 6363 .5,en;q=0.3..Acc 0x0200: 6570 742d 456e 636f 6469 6e67 3a20 677a ept-Encoding:.gz 0x0210: 6970 2c20 6465 666c 6174 650d 0a52 6566 ip,.deflate..Ref 0x0220: 6572 6572 3a20 6874 7470 3a2f 2f73 372e erer:.http://s7. 0x0230: 7663 646e 2e62 697a 2f73 7461 7469 632f vcdn.biz/static/ 0x0240: 662f 3734 3837 3139 3137 310d 0a43 6f6e f/748719171..Con 0x0250: 6e65 6374 696f 6e3a 206b 6565 702d 616c nection:.keep-al 0x0260: 6976 650d 0a0d 0a ive.... Судя по последнему куску - это таки HTTP но пока не могу понять как оно так вышло ethertype 0x3507 я найти не смог что оно такое. При этом на других интрефейсах я тоже вижу траффик с того же мака - ba:4a:d3:3c:74:d4 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sirmax Posted August 27, 2016 · Report post Забавно но так работает tcpdump -n -i eth4 -s 65535 -ee -c 10000000 | grep 04:8d:38:c3:dc:06 16:36:46.418687 90:e2:ba:4a:d3:3c > 04:8d:38:c3:dc:06, ethertype 802.1Q (0x8100), length 95: vlan 3078, p 0, ethertype IPv4, 178.217.69.126.47135 > 192.168.137.119.ott: Flags [P.], seq 106:143, ack 149, win 64731, length 37 16:36:46.495619 90:e2:ba:4a:d3:3c > 04:8d:38:c3:dc:06, ethertype 802.1Q (0x8100), length 71: vlan 3078, p 0, ethertype IPv4, 40.127.160.178.50006 > 192.168.137.119.ft-role: Flags [P.], seq 118:131, ack 126, win 29200, length 13 16:36:46.496837 04:8d:38:c3:dc:06 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 64: vlan 3078, p 0, ethertype IPv4, 192.168.137.119.ft-role > 40.127.160.178.50006: Flags [.], ack 131, win 65405, length 0 16:36:46.496938 04:8d:38:c3:dc:06 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 64: vlan 3078, p 0, ethertype IPv4, 192.168.137.119.ft-role > 40.127.160.178.50006: Flags [P.], seq 126:130, ack 131, win 65405, length 4 16:36:46.603374 90:e2:ba:4a:d3:3c > 04:8d:38:c3:dc:06, ethertype 802.1Q (0x8100), length 192: vlan 3078, p 0, ethertype IPv4, 157.55.235.147.https > 192.168.137.119.kofax-svr: Flags [P.], seq 1259:1393, ack 7884, win 33580, length 134 16:36:46.605093 04:8d:38:c3:dc:06 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 94: vlan 3078, p 0, ethertype IPv4, 192.168.137.119.kofax-svr > 157.55.235.147.https: Flags [P.], seq 7884:7920, ack 1393, win 64143, length 36 16:36:46.636043 04:8d:38:c3:dc:06 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 64: vlan 3078, p 0, ethertype IPv4, 192.168.137.119.ott > 178.217.69.126.47135: Flags [.], ack 157, win 65379, length 0 Т е дело в том что на уровне саб-девайса что-то не то а на уровне родительского - уже как-бы все хорошо Интересно только что ( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SABRE Posted August 27, 2016 · Report post У меня подозрение на reorder_hdr. Раз offload отключен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sirmax Posted August 28, 2016 · Report post У меня подозрение на reorder_hdr. Раз offload отключен. Однако ip link set eth4.3099 type vlan reorder_hdr off таки работает Странно это - раньше поведение по-умолчанию было другим? Я не могу сказать когда последний раз что-то дампал на вланах но вроде-бы при Сталине раньше такого поведения не было Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...