sirmax Posted August 26, 2016 Posted August 26, 2016 Сегодня в процессе дебага обратил внимание tcpdump -ee -nn -i eth4.3078 host 192.168.134.21 -c 100 (видно только исход с роутера) 15:32:59.864329 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 818: 5.9.238.20.80 > 192.168.134.21.42153: Flags [P.], seq 130320:131072, ack 1, win 57, options [nop,nop,TS val 276010223 ecr 419163833], length 752 15:33:00.117079 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 131072:132520, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448 15:33:00.117086 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 132520:133968, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448 15:33:00.117090 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 133968:135416, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448 15:33:00.117094 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 135416:136864, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448 15:33:00.117097 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 136864:138312, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448 15:33:00.117101 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 138312:139760, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448 15:33:00.117104 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 139760:141208, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448 15:33:00.117155 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 141208:142656, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448 15:33:00.117160 90:e2:ba:4a:d3:3c > f8:d1:11:a1:d5:d3, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.134.21.42153: Flags [.], seq 142656:144104, ack 1, win 57, options [nop,nop,TS val 276010286 ecr 419163839], length 1448 На родительском интерфейсе tcpdump -ee -nn -i eth4 host 192.168.134.21 -c 100 15:33:07.516368 f8:d1:11:a1:d5:d3 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.134.21.42153 > 5.9.238.20.80: Flags [.], ack 53577, win 7059, options [nop,nop,TS val 419171486 ecr 276012136], length 0 15:33:07.516707 f8:d1:11:a1:d5:d3 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.134.21.42153 > 5.9.238.20.80: Flags [.], ack 56473, win 7059, options [nop,nop,TS val 419171486 ecr 276012136], length 0 15:33:07.516856 f8:d1:11:a1:d5:d3 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.134.21.42153 > 5.9.238.20.80: Flags [.], ack 59369, win 7059, options [nop,nop,TS val 419171487 ecr 276012136], length 0 15:33:07.517086 f8:d1:11:a1:d5:d3 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.134.21.42153 > 5.9.238.20.80: Flags [.], ack 62265, win 7059, options [nop,nop,TS val 419171487 ecr 276012136], length 0 15:33:07.517337 f8:d1:11:a1:d5:d3 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.134.21.42153 > 5.9.238.20.80: Flags [.], ack 65161, win 7059, options [nop,nop,TS val 419171487 ecr 276012136], length 0 15:33:07.517651 f8:d1:11:a1:d5:d3 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.134.21.42153 > 5.9.238.20.80: Flags [.], ack 68057, win 7059, options [nop,nop,TS val 419171487 ecr 276012136], length 0 15:33:07.517815 f8:d1:11:a1:d5:d3 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.134.21.42153 > 5.9.238.20.80: Flags [.], ack 70953, win 7059, options [nop,nop,TS val 419171488 ecr 276012136], length 0 Пока-что я никак не могу это понять При этом по факту траффик ходит в обе стороны Нагрузки на сервер нет, сетевка ethtool -i eth4 driver: ixgbe version: 3.22.3 firmware-version: 0x61c10001 bus-info: 0000:05:00.0 supports-statistics: yes supports-test: yes supports-eeprom-access: yes supports-register-dump: yes supports-priv-flags: no Какой-нибудь ВЛАН оффлоад или что то еще? Вроде-бы ничего не менялось достаточно долго уже ядро Linux 3.17.4-1.el6.elrepo.x86_64 #1 SMP Sat Nov 22 09:31:20 EST 2014 x86_64 x86_64 x86_64 GNU/Linux Вставить ник Quote
hsvt Posted August 26, 2016 Posted August 26, 2016 Так вроде так всегда и должно быть? Вставить ник Quote
Ivan_83 Posted August 26, 2016 Posted August 26, 2016 А так: tcpdump -e -n -c 100 -i eth4.3078 src ip 192.168.134.21 or dst ip 192.168.134.21 При этом убедись что NAT у тебя там нет, а то он может как раз половину адресов и убирать. Вставить ник Quote
sirmax Posted August 26, 2016 Author Posted August 26, 2016 А так: tcpdump -e -n -c 100 -i eth4.3078 src ip 192.168.134.21 or dst ip 192.168.134.21 При этом убедись что NAT у тебя там нет, а то он может как раз половину адресов и убирать. Дело в том что я начал смотреть по маку (а ебтаблезов с мак-нат точно нет) IP пингается но в дампе ether host MAC - траффик только в одну сторону tcpdump -e -n -c 100 -i eth4.3078 src ip 192.168.134.21 or dst ip 192.168.134.21 наверно так tcpdump -e -n -c 100 -i eth4.3078 src host 192.168.134.21 or dst host 192.168.134.21 Показывает в одну сторону только - ОТ роутера к клиенту. Нат есть но он дальше и собственно, даже если сделать tcpdump -e -n -c 100 -i eth4.3078 я не вижу никаого траффика К клиенту (что должно быть даже если чьо то натится Странно все очень Вставить ник Quote
Ivan_83 Posted August 26, 2016 Posted August 26, 2016 Никогда не пользуюсь "host". Тогда ip src / ip dst. Возможно линукс как то в обход пускает что в бпф/пкап не попадает. Вставить ник Quote
sirmax Posted August 26, 2016 Author Posted August 26, 2016 Никогда не пользуюсь "host". Тогда ip src / ip dst. Возможно линукс как то в обход пускает что в бпф/пкап не попадает. Хм tcpdump -e -n -c 100 -i eth4.3078 src ip 192.168.134.21 or dst ip 192.168.134.21 tcpdump: syntax error под Mac OS то же самое Вставить ник Quote
Ivan_83 Posted August 26, 2016 Posted August 26, 2016 tcpdump -e -n -c 100 -i vlan777 ip src 192.168.134.21 or ip dst 192.168.134.21 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on vlan777, link-type EN10MB (Ethernet), capture size 65535 bytes Вставить ник Quote
SABRE Posted August 26, 2016 Posted August 26, 2016 А что говорит ethtool -k и ip -d link list? P.S. я вон вообще недавно сюрприз обнаружил - http://www.spinics.net/lists/lartc/msg23421.html Вставить ник Quote
sirmax Posted August 27, 2016 Author Posted August 27, 2016 А что говорит ethtool -k и ip -d link list? P.S. я вон вообще недавно сюрприз обнаружил - http://www.spinics.net/lists/lartc/msg23421.html на первый взгляд - ничего необычного нет ethtool -k eth4 Features for eth4: rx-checksumming: on tx-checksumming: on tx-checksum-ipv4: on tx-checksum-ip-generic: off [fixed] tx-checksum-ipv6: on tx-checksum-fcoe-crc: off [fixed] tx-checksum-sctp: on scatter-gather: on tx-scatter-gather: on tx-scatter-gather-fraglist: off [fixed] tcp-segmentation-offload: off tx-tcp-segmentation: off tx-tcp-ecn-segmentation: off [fixed] tx-tcp6-segmentation: off udp-fragmentation-offload: off [fixed] generic-segmentation-offload: off generic-receive-offload: off large-receive-offload: off rx-vlan-offload: off tx-vlan-offload: off ntuple-filters: on receive-hashing: on highdma: on [fixed] rx-vlan-filter: on [fixed] vlan-challenged: off [fixed] tx-lockless: off [fixed] netns-local: off [fixed] tx-gso-robust: off [fixed] tx-fcoe-segmentation: off [fixed] tx-gre-segmentation: off [fixed] tx-ipip-segmentation: off [fixed] tx-sit-segmentation: off [fixed] tx-udp_tnl-segmentation: off [fixed] tx-mpls-segmentation: off [fixed] fcoe-mtu: off [fixed] tx-nocache-copy: off loopback: off [fixed] rx-fcs: off [fixed] rx-all: off [fixed] tx-vlan-stag-hw-insert: off [fixed] rx-vlan-stag-hw-parse: off [fixed] rx-vlan-stag-filter: off [fixed] l2-fwd-offload: off [fixed] busy-poll: on [fixed] 6: eth4: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000 link/ether 90:e2:ba:4a:d3:3c brd ff:ff:ff:ff:ff:ff Хорошим впросом будет почему PROMISC =) Я пока не знаю Вставить ник Quote
nuclearcat Posted August 27, 2016 Posted August 27, 2016 length 70: а если -s 65000 добавить? Вставить ник Quote
sirmax Posted August 27, 2016 Author Posted August 27, 2016 length 70: а если -s 65000 добавить? На родительском интерфейсе (там 300+ вланов и траффика под 2 гига - не много но дампать уже неудобно) tcpdump -nn -ee -s 65000 -i eth4 -c 10000 | grep 3078 tcpdump: WARNING: eth4: no IPv4 address assigned Warning: Kernel filter failed: Bad address tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth4, link-type EN10MB (Ethernet), capture size 65000 bytes 15:34:26.719874 e8:94:f6:7b:ad:7d > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.142.48.54359 > 178.187.117.130.24502: Flags [s], seq 1202332650, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0 15:34:26.720144 90:e2:ba:4a:d3:3c > e8:94:f6:7b:ad:7d, ethertype 802.1Q (0x8100), length 388: vlan 3078, p 0, ethertype IPv4, 78.179.254.147.49271 > 192.168.142.48.57313: UDP, length 342 15:34:26.724109 90:e2:ba:4a:d3:3c > e8:94:f6:7b:ad:7d, ethertype 802.1Q (0x8100), length 66: vlan 3078, p 0, ethertype IPv4, 78.179.254.147.49271 > 192.168.142.48.57313: UDP, length 20 15:34:26.725130 90:e2:ba:4a:d3:3c > e8:94:f6:7b:ad:7d, ethertype 802.1Q (0x8100), length 66: vlan 3078, p 0, ethertype IPv4, 78.179.254.147.49271 > 192.168.142.48.57313: UDP, length 20 15:34:26.727319 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 975429763:975431211, ack 1754918519, win 57, options [nop,nop,TS val 297632671 ecr 1279736280], length 1448 15:34:26.727324 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 1448:2896, ack 1, win 57, options [nop,nop,TS val 297632671 ecr 1279736280], length 1448 15:34:26.727384 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 2896:4344, ack 1, win 57, options [nop,nop,TS val 297632671 ecr 1279736280], length 1448 15:34:26.727392 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 4344:5792, ack 1, win 57, options [nop,nop,TS val 297632671 ecr 1279736280], length 1448 <пропущено повторение> 15:34:26.727813 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 49232:50680, ack 1, win 57, options [nop,nop,TS val 297632671 ecr 1279736280], length 1448 15:34:26.727817 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 50680:52128, ack 1, win 57, options [nop,nop,TS val 297632671 ecr 1279736280], length 1448 15:34:26.728103 90:f6:52:5a:5f:43 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.136.224.42693 > 5.9.238.20.80: Flags [.], ack 2896, win 7059, options [nop,nop,TS val 1279736378 ecr 297632671], length 0 15:34:26.728340 90:f6:52:5a:5f:43 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.136.224.42693 > 5.9.238.20.80: Flags [.], ack 5792, win 7059, options [nop,nop,TS val 1279736379 ecr 297632671], length 0 15:34:26.728508 90:f6:52:5a:5f:43 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.136.224.42693 > 5.9.238.20.80: Flags [.], ack 8688, win 7059, options [nop,nop,TS val 1279736379 ecr 297632671], length 0 15:34:26.728790 90:f6:52:5a:5f:43 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.136.224.42693 > 5.9.238.20.80: Flags [.], ack 11584, win 7059, options [nop,nop,TS val 1279736379 ecr 297632671], length 0 15:34:26.728994 90:f6:52:5a:5f:43 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.136.224.42693 > 5.9.238.20.80: Flags [.], ack 14480, win 7059, options [nop,nop,TS val 1279736379 ecr 297632671], length 0 15:34:26.729164 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 52128:53576, ack 1, win 57, options [nop,nop,TS val 297632672 ecr 1279736378], length 1448 15:34:26.729235 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 53576:55024, ack 1, win 57, options [nop,nop,TS val 297632672 ecr 1279736378], length 1448 15:34:26.729244 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 55024:56472, ack 1, win 57, options [nop,nop,TS val 297632672 ecr 1279736378], length 1448 15:34:26.729252 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype 802.1Q (0x8100), length 1518: vlan 3078, p 0, ethertype IPv4, 5.9.238.20.80 > 192.168.136.224.42693: Flags [P.], seq 56472:57920, ack 1, win 57, options [nop,nop,TS val 297632672 ecr 1279736378], length 1448 15:34:26.729309 90:f6:52:5a:5f:43 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.136.224.42693 > 5.9.238.20.80: Flags [.], ack 17376, win 7059, options [nop,nop,TS val 1279736380 ecr 297632671], length 0 15:34:26.729519 90:f6:52:5a:5f:43 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 70: vlan 3078, p 0, ethertype IPv4, 192.168.136.224.42693 > 5.9.238.20.80: Flags [.], ack 20272, win 7059, options [nop,nop,TS val 1279736380 ecr 297632671], length 0 Т е как-бы вроде видно в обе стороны но при этом дампать на корневом интерфейсе не хочется На влане tcpdump -nn -ee -s 65000 -i eth4.3078 -c 100 Warning: Kernel filter failed: Bad address tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth4.3078, link-type EN10MB (Ethernet), capture size 65000 bytes 15:35:12.595727 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 998611379:998612827, ack 1754918519, win 57, options [nop,nop,TS val 297644139 ecr 1279782242], length 1448 15:35:12.595732 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 1448:2896, ack 1, win 57, options [nop,nop,TS val 297644139 ecr 1279782242], length 1448 15:35:12.595735 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.136.224.42693: Flags [.], seq 2896:4344, ack 1, win 57, options [nop,nop,TS val 297644139 ecr 1279782242], length 1448 15:35:12.595739 90:e2:ba:4a:d3:3c > 90:f6:52:5a:5f:43, ethertype IPv4 (0x0800), length 1514: 5.9.238.20.80 > 192.168.136.224.42693: Flags [P.], seq 4344:5792, ack 1, win 57, options [nop,nop,TS val 297644139 ecr 1279782242], length 1448 15:35:12.595798 ba:4a:d3:3c:90:f6 > 90:e2:ba:4a:90:e2, ethertype Unknown (0x525a), length 70: 0x0000: 5f43 0800 4500 0034 7c67 4000 3f06 82b6 _C..E..4|g@.?... 0x0010: c0a8 88e0 0509 ee14 a6c5 0050 6899 ee77 ...........Ph..w 0x0020: 3b85 11f3 8010 1b93 d710 0000 0101 080a ;............... 0x0030: 4c47 ed64 11bd b06a LG.d...j .... <тут пропущено> 15:35:12.611406 ba:4a:d3:3c:74:d4 > 90:e2:ba:4a:90:e2, ethertype Unknown (0x3507), length 629: 0x0000: 777b 0800 4500 0263 5d25 4000 8006 3f6e w{..E..c]%@...?n 0x0010: c0a8 8d87 c1bb 4c16 f759 0050 b079 3dbb ......L..Y.P.y=. 0x0020: 598f a3d9 5018 04be d4b2 0000 4745 5420 Y...P.......GET. 0x0030: 2f65 6130 3938 6137 6164 3461 6630 6666 /ea098a7ad4af0ff 0x0040: 3764 3339 6337 6138 3538 3733 3731 3134 7d39c7a858737114 0x0050: 345f 6d65 676f 676f 2f76 6f64 2f66 732f 4_megogo/vod/fs/ 0x0060: 6f2f 3334 3831 3334 3531 2f70 2f43 5550 o/34813451/p/CUP 0x0070: 4552 5449 4e4f 2f62 2f34 3530 5f39 3030 ERTINO/b/450_900 0x0080: 5f31 3335 305f 3135 3030 5f32 3030 305f _1350_1500_2000_ 0x0090: 3530 3030 2f75 5f73 6964 2f72 6175 7675 5000/u_sid/rauvu 0x00a0: 6739 306e 7132 7373 7036 3961 3575 6636 g90nq2ssp69a5uf6 0x00b0: 6d37 6834 342f 755f 7569 642f 302f 755f m7h44/u_uid/0/u_ 0x00c0: 766f 642f 332f 755f 6465 7669 6365 2f66 vod/3/u_device/f 0x00d0: 6c61 7368 2f67 2f75 612f 612f 302f 7479 lash/g/ua/a/0/ty 0x00e0: 7065 2e61 6d6c 7374 2f6d 6564 6961 2d73 pe.amlst/media-s 0x00f0: 6964 3335 3239 3238 342d 6235 3030 3030 id3529284-b50000 0x0100: 3030 5f35 372e 7473 2048 5454 502f 312e 00_57.ts.HTTP/1. 0x0110: 310d 0a48 6f73 743a 2076 7331 322e 7663 1..Host:.vs12.vc 0x0120: 646e 2e62 697a 0d0a 5573 6572 2d41 6765 dn.biz..User-Age 0x0130: 6e74 3a20 4d6f 7a69 6c6c 612f 352e 3020 nt:.Mozilla/5.0. 0x0140: 2857 696e 646f 7773 204e 5420 362e 333b (Windows.NT.6.3; 0x0150: 2057 4f57 3634 3b20 7276 3a34 372e 3029 .WOW64;.rv:47.0) 0x0160: 2047 6563 6b6f 2f32 3031 3030 3130 3120 .Gecko/20100101. 0x0170: 4669 7265 666f 782f 3437 2e30 0d0a 4163 Firefox/47.0..Ac 0x0180: 6365 7074 3a20 7465 7874 2f68 746d 6c2c cept:.text/html, 0x0190: 6170 706c 6963 6174 696f 6e2f 7868 746d application/xhtm 0x01a0: 6c2b 786d 6c2c 6170 706c 6963 6174 696f l+xml,applicatio 0x01b0: 6e2f 786d 6c3b 713d 302e 392c 2a2f 2a3b n/xml;q=0.9,*/*; 0x01c0: 713d 302e 380d 0a41 6363 6570 742d 4c61 q=0.8..Accept-La 0x01d0: 6e67 7561 6765 3a20 7275 2d52 552c 7275 nguage:.ru-RU,ru 0x01e0: 3b71 3d30 2e38 2c65 6e2d 5553 3b71 3d30 ;q=0.8,en-US;q=0 0x01f0: 2e35 2c65 6e3b 713d 302e 330d 0a41 6363 .5,en;q=0.3..Acc 0x0200: 6570 742d 456e 636f 6469 6e67 3a20 677a ept-Encoding:.gz 0x0210: 6970 2c20 6465 666c 6174 650d 0a52 6566 ip,.deflate..Ref 0x0220: 6572 6572 3a20 6874 7470 3a2f 2f73 372e erer:.http://s7. 0x0230: 7663 646e 2e62 697a 2f73 7461 7469 632f vcdn.biz/static/ 0x0240: 662f 3734 3837 3139 3137 310d 0a43 6f6e f/748719171..Con 0x0250: 6e65 6374 696f 6e3a 206b 6565 702d 616c nection:.keep-al 0x0260: 6976 650d 0a0d 0a ive.... Судя по последнему куску - это таки HTTP но пока не могу понять как оно так вышло ethertype 0x3507 я найти не смог что оно такое. При этом на других интрефейсах я тоже вижу траффик с того же мака - ba:4a:d3:3c:74:d4 Вставить ник Quote
sirmax Posted August 27, 2016 Author Posted August 27, 2016 Забавно но так работает tcpdump -n -i eth4 -s 65535 -ee -c 10000000 | grep 04:8d:38:c3:dc:06 16:36:46.418687 90:e2:ba:4a:d3:3c > 04:8d:38:c3:dc:06, ethertype 802.1Q (0x8100), length 95: vlan 3078, p 0, ethertype IPv4, 178.217.69.126.47135 > 192.168.137.119.ott: Flags [P.], seq 106:143, ack 149, win 64731, length 37 16:36:46.495619 90:e2:ba:4a:d3:3c > 04:8d:38:c3:dc:06, ethertype 802.1Q (0x8100), length 71: vlan 3078, p 0, ethertype IPv4, 40.127.160.178.50006 > 192.168.137.119.ft-role: Flags [P.], seq 118:131, ack 126, win 29200, length 13 16:36:46.496837 04:8d:38:c3:dc:06 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 64: vlan 3078, p 0, ethertype IPv4, 192.168.137.119.ft-role > 40.127.160.178.50006: Flags [.], ack 131, win 65405, length 0 16:36:46.496938 04:8d:38:c3:dc:06 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 64: vlan 3078, p 0, ethertype IPv4, 192.168.137.119.ft-role > 40.127.160.178.50006: Flags [P.], seq 126:130, ack 131, win 65405, length 4 16:36:46.603374 90:e2:ba:4a:d3:3c > 04:8d:38:c3:dc:06, ethertype 802.1Q (0x8100), length 192: vlan 3078, p 0, ethertype IPv4, 157.55.235.147.https > 192.168.137.119.kofax-svr: Flags [P.], seq 1259:1393, ack 7884, win 33580, length 134 16:36:46.605093 04:8d:38:c3:dc:06 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 94: vlan 3078, p 0, ethertype IPv4, 192.168.137.119.kofax-svr > 157.55.235.147.https: Flags [P.], seq 7884:7920, ack 1393, win 64143, length 36 16:36:46.636043 04:8d:38:c3:dc:06 > 90:e2:ba:4a:d3:3c, ethertype 802.1Q (0x8100), length 64: vlan 3078, p 0, ethertype IPv4, 192.168.137.119.ott > 178.217.69.126.47135: Flags [.], ack 157, win 65379, length 0 Т е дело в том что на уровне саб-девайса что-то не то а на уровне родительского - уже как-бы все хорошо Интересно только что ( Вставить ник Quote
SABRE Posted August 27, 2016 Posted August 27, 2016 У меня подозрение на reorder_hdr. Раз offload отключен. Вставить ник Quote
sirmax Posted August 28, 2016 Author Posted August 28, 2016 У меня подозрение на reorder_hdr. Раз offload отключен. Однако ip link set eth4.3099 type vlan reorder_hdr off таки работает Странно это - раньше поведение по-умолчанию было другим? Я не могу сказать когда последний раз что-то дампал на вланах но вроде-бы при Сталине раньше такого поведения не было Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.