morfair Posted October 4, 2016 Други, суть в том, что на Linux с L2 коммутатора летит зеркало всего трафика со всех VLAN'ов, которых порядка двух тысяч. Столько интерфейсов в Linux'е я создавать не хочу. Есть ли какой ядерный модуль, который бы повырезал все 802.1Q из входящих пакетов? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
catalist Posted October 4, 2016 а зачем вам для зеркала интерфейсы? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted October 4, 2016 Други, суть в том, что на Linux с L2 коммутатора летит зеркало всего трафика со всех VLAN'ов, которых порядка двух тысяч. Столько интерфейсов в Linux'е я создавать не хочу. Есть ли какой ядерный модуль, который бы повырезал все 802.1Q из входящих пакетов? А как вы будете отличать с какого вилана какой трафик прибежал? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted October 4, 2016 tcpdump видит и с метками. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
morfair Posted October 4, 2016 Мне нужно видеть содержимое пакетов, поэтому этот тегированный трафик нужно растегировать. При этом отличать с какого vlan'а пришло мне не нужно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vitalvas Posted October 4, 2016 tcpdump promisc mode Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted October 4, 2016 Други, суть в том, что на Linux с L2 коммутатора летит зеркало всего трафика со всех VLAN'ов, которых порядка двух тысяч. Столько интерфейсов в Linux'е я создавать не хочу. Есть ли какой ядерный модуль, который бы повырезал все 802.1Q из входящих пакетов? Такой простой. А ничего что там при тегировании смещения меняются? Чем именно ты в линухе смотришь? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted October 4, 2016 на каких-то свитчах была багофича - на зеркале тупо снимались vlan-ы, попробуйте найти сообщения на эту тему и купить такой свитч а вообще, сказали бы вы лучше что вы делаете. небось какой-нибудь "анализатор" трафика на python-скриптах? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
catalist Posted October 4, 2016 Мне нужно видеть содержимое пакетов, поэтому этот тегированный трафик нужно растегировать. Вот совсем не по этому! Связи нету между тегами и содержимым пакетов, одно другому не мешает Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
orlik Posted October 5, 2016 По идее если вы миррорите трафик значит приложение которое будет получать его , должно смотреть в буфер карточки. И тогда единственный вариант переписать модуль для ядра вашей сетевой таким образом чтоб он вырезал 802.1q тег. Либо , что проще , делать это в приложении. P.S. А для кааких целей используете такое ? Может если будут понятны ввобные то будет проще подсказать решение Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kayot Posted October 5, 2016 А если заюзать длинк любой с PCF, и тупо заменять метку влана на нужный в пролетающем трафике? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
morfair Posted October 5, 2016 А если заюзать длинк любой с PCF, и тупо заменять метку влана на нужный в пролетающем трафике? Вот это уже идея, спс. Мне для системы блокировки РКН нужно видеть весь трафик, при этом снимать зеркало с аплинка бордера к магистралу не полноценное решение, т.к. там нет "локального" трафика. Приходится получить трафик с зеркала агрегации, но там всё в тегах. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sol Posted October 5, 2016 е, т.к. там нет "локального" трафика. А что, РКН у вас внутрисетевые ресурсы заблокировл?!? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kayot Posted October 5, 2016 Если не сработает с PCF(есть ли там возможность модификации?) - можно еще проще сделать. На том же длинке вогнать трафик в qinq uni порт и навесить вторую метку. Софт и железо будет считать что метка там одна, верхняя. Или сделать vlan mapping на то же длинке, вроде можно ж svlan/cvlan переписывать на любом порту. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted October 5, 2016 Извращение какое. РКН абсолютно не интересен локальный трафик. СОРМу - интересен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nik0n Posted October 6, 2016 Извращение какое. РКН абсолютно не интересен локальный трафик. СОРМу - интересен. Есть системы фильтрации, которые из потока зеркалированого трафика при отсылке SYN на заблокированный IP тут же посылают СВОЙ ответ ACK (а в паблик сеть заблокированному IP шлют RST на всякий случай) клиенту и продолжают TCP сессию от имени "заблокированого" IP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted October 6, 2016 Ну, это делается на аплинке. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted October 6, 2016 Ну и самое веселое - в какой влан будет отвечать эта программа, не зная тэга? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted October 6, 2016 Ну и самое веселое - в какой влан будет отвечать эта программа, не зная тэга? А вот это очень легко. просто шлёшь трафик на gw в сторону нужного хоста, а дальше уже оно маршрутизируется, т.е. по сути это самый обычный спуфиг. Системы блокировок на зеркале именно так и работают. Им даёшь IP, шлюз, а они прикидываются и сервером и клиентом и рассылают всякие tcp-rst Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted October 6, 2016 Ну и самое веселое - в какой влан будет отвечать эта программа, не зная тэга? лишь бы посты понабивать? :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted October 6, 2016 GrandPr1de ну что вы хотите от энтерпрайз-админов?.. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted October 6, 2016 сори за флуд)) GrandPr1de ну что вы хотите от энтерпрайз-админов?.. да нет, ничего просто руководствуюсь такой логикой: 1) не знаешь - не лезь 2) думаешь что знаешь - тебя исправили, скажи спасибо и почитай мат. часть 3) не уверен, лучше спроси а не утверждай да кого я обманываю, это ж форум! :) нахера этим заморачиваться если можно писать чушь ведь никто за свои слова не отвечает))))) сааб по такому принципу хз сколько микротиков впарил лол Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
morfair Posted October 7, 2016 Во-первых, как правильно ответил GrandPr1de, ответы можно слать через бордер, а дальше к клиенту они смаршрутизируются. Во-вторых, локальный трафик может быть не только серый, но и белый. Коннект с одного вашего клиента с белым IP до другого такого же что, идет через магистрала?? Нет, поэтому в зеркале аплинка этого трафа не будет. Или вы считаете не обязательным блокировать свои адреса, если они попадут в список РКН? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted October 7, 2016 И много народу в вашей сети хостят сайты? Да еще и политические? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vop Posted October 7, 2016 Или вы считаете не обязательным блокировать свои адреса, если они попадут в список РКН? Ну да. Цензура, то сё... :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...