morfair Posted October 4, 2016 · Report post Други, суть в том, что на Linux с L2 коммутатора летит зеркало всего трафика со всех VLAN'ов, которых порядка двух тысяч. Столько интерфейсов в Linux'е я создавать не хочу. Есть ли какой ядерный модуль, который бы повырезал все 802.1Q из входящих пакетов? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
catalist Posted October 4, 2016 · Report post а зачем вам для зеркала интерфейсы? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted October 4, 2016 · Report post Други, суть в том, что на Linux с L2 коммутатора летит зеркало всего трафика со всех VLAN'ов, которых порядка двух тысяч. Столько интерфейсов в Linux'е я создавать не хочу. Есть ли какой ядерный модуль, который бы повырезал все 802.1Q из входящих пакетов? А как вы будете отличать с какого вилана какой трафик прибежал? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted October 4, 2016 · Report post tcpdump видит и с метками. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
morfair Posted October 4, 2016 · Report post Мне нужно видеть содержимое пакетов, поэтому этот тегированный трафик нужно растегировать. При этом отличать с какого vlan'а пришло мне не нужно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vitalvas Posted October 4, 2016 · Report post tcpdump promisc mode Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted October 4, 2016 · Report post Други, суть в том, что на Linux с L2 коммутатора летит зеркало всего трафика со всех VLAN'ов, которых порядка двух тысяч. Столько интерфейсов в Linux'е я создавать не хочу. Есть ли какой ядерный модуль, который бы повырезал все 802.1Q из входящих пакетов? Такой простой. А ничего что там при тегировании смещения меняются? Чем именно ты в линухе смотришь? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted October 4, 2016 · Report post на каких-то свитчах была багофича - на зеркале тупо снимались vlan-ы, попробуйте найти сообщения на эту тему и купить такой свитч а вообще, сказали бы вы лучше что вы делаете. небось какой-нибудь "анализатор" трафика на python-скриптах? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
catalist Posted October 4, 2016 · Report post Мне нужно видеть содержимое пакетов, поэтому этот тегированный трафик нужно растегировать. Вот совсем не по этому! Связи нету между тегами и содержимым пакетов, одно другому не мешает Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
orlik Posted October 5, 2016 · Report post По идее если вы миррорите трафик значит приложение которое будет получать его , должно смотреть в буфер карточки. И тогда единственный вариант переписать модуль для ядра вашей сетевой таким образом чтоб он вырезал 802.1q тег. Либо , что проще , делать это в приложении. P.S. А для кааких целей используете такое ? Может если будут понятны ввобные то будет проще подсказать решение Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kayot Posted October 5, 2016 · Report post А если заюзать длинк любой с PCF, и тупо заменять метку влана на нужный в пролетающем трафике? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
morfair Posted October 5, 2016 · Report post А если заюзать длинк любой с PCF, и тупо заменять метку влана на нужный в пролетающем трафике? Вот это уже идея, спс. Мне для системы блокировки РКН нужно видеть весь трафик, при этом снимать зеркало с аплинка бордера к магистралу не полноценное решение, т.к. там нет "локального" трафика. Приходится получить трафик с зеркала агрегации, но там всё в тегах. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sol Posted October 5, 2016 · Report post е, т.к. там нет "локального" трафика. А что, РКН у вас внутрисетевые ресурсы заблокировл?!? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kayot Posted October 5, 2016 · Report post Если не сработает с PCF(есть ли там возможность модификации?) - можно еще проще сделать. На том же длинке вогнать трафик в qinq uni порт и навесить вторую метку. Софт и железо будет считать что метка там одна, верхняя. Или сделать vlan mapping на то же длинке, вроде можно ж svlan/cvlan переписывать на любом порту. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted October 5, 2016 · Report post Извращение какое. РКН абсолютно не интересен локальный трафик. СОРМу - интересен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nik0n Posted October 6, 2016 · Report post Извращение какое. РКН абсолютно не интересен локальный трафик. СОРМу - интересен. Есть системы фильтрации, которые из потока зеркалированого трафика при отсылке SYN на заблокированный IP тут же посылают СВОЙ ответ ACK (а в паблик сеть заблокированному IP шлют RST на всякий случай) клиенту и продолжают TCP сессию от имени "заблокированого" IP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted October 6, 2016 · Report post Ну, это делается на аплинке. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted October 6, 2016 · Report post Ну и самое веселое - в какой влан будет отвечать эта программа, не зная тэга? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted October 6, 2016 · Report post Ну и самое веселое - в какой влан будет отвечать эта программа, не зная тэга? А вот это очень легко. просто шлёшь трафик на gw в сторону нужного хоста, а дальше уже оно маршрутизируется, т.е. по сути это самый обычный спуфиг. Системы блокировок на зеркале именно так и работают. Им даёшь IP, шлюз, а они прикидываются и сервером и клиентом и рассылают всякие tcp-rst Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted October 6, 2016 · Report post Ну и самое веселое - в какой влан будет отвечать эта программа, не зная тэга? лишь бы посты понабивать? :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted October 6, 2016 · Report post GrandPr1de ну что вы хотите от энтерпрайз-админов?.. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted October 6, 2016 · Report post сори за флуд)) GrandPr1de ну что вы хотите от энтерпрайз-админов?.. да нет, ничего просто руководствуюсь такой логикой: 1) не знаешь - не лезь 2) думаешь что знаешь - тебя исправили, скажи спасибо и почитай мат. часть 3) не уверен, лучше спроси а не утверждай да кого я обманываю, это ж форум! :) нахера этим заморачиваться если можно писать чушь ведь никто за свои слова не отвечает))))) сааб по такому принципу хз сколько микротиков впарил лол Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
morfair Posted October 7, 2016 · Report post Во-первых, как правильно ответил GrandPr1de, ответы можно слать через бордер, а дальше к клиенту они смаршрутизируются. Во-вторых, локальный трафик может быть не только серый, но и белый. Коннект с одного вашего клиента с белым IP до другого такого же что, идет через магистрала?? Нет, поэтому в зеркале аплинка этого трафа не будет. Или вы считаете не обязательным блокировать свои адреса, если они попадут в список РКН? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted October 7, 2016 · Report post И много народу в вашей сети хостят сайты? Да еще и политические? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vop Posted October 7, 2016 · Report post Или вы считаете не обязательным блокировать свои адреса, если они попадут в список РКН? Ну да. Цензура, то сё... :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...