PCAP на Public IP AWS/Cloud-based решениях

[dr Tr0jan]

Давно хостимся на AWS EC2, а недавно столкнулись с проблемой - до одного из клиентов не доходят SYN-пакеты (подозреваем, что он тоже может на AWS жить). Клиент говорит, что SYN от нас не видит, уверяет, что фаерволл на его стороне настроен корректно. Хотели собрать дамп на Public IP (хоть Elastic IP, хоть балансировщик, хоть временный адрес), а инструментов нет. Изнутри виртуалки EC2 tcpdump собирает дамп с серыми адресами, такой дамп клиенту не отправишь. Переписывать руками IP-адрес в дампе - не по-джентльменски. Попробовали инструмент VPC Traffic Mirroring - в дампе всё равно серый адрес фигурирует.

Существуют ли какие-то способы получить адекватный дамп с белыми адресами? Как на других Cloud-based (Google Cloud, Azure, Яндексе) решениях обстоят дела с получением дампов?

[TheUser]

4 часа назад, dr Tr0jan сказал:

Давно хостимся на AWS EC2, а недавно столкнулись с проблемой

Как вам это удалось? Некоторые завыли после начала "замедлений".

Или клиент не из РФ?

[dr Tr0jan]

@TheUser , и мы, и клиент - не из РФ.

[jffulcrum]

Только развернуть снаружи прокси вроде Traefik и давать клиентам его адрес (в публ.DNS). Тогда вы четко будете видеть, где до Штирлица не дошло письмо из Центра 

[dr Tr0jan]

24 minutes ago, jffulcrum said:

Только развернуть снаружи прокси вроде Traefik

Где развернуть то? Вот мы на AWS и хотели его развернуть.

 

Проблема в нашем случае 99% на стороне клиента. Но доказать мы не можем.

[naves]

5 hours ago, dr Tr0jan said:

Давно хостимся на AWS EC2

 

5 hours ago, dr Tr0jan said:

Изнутри виртуалки EC2 tcpdump собирает дамп с серыми адресами

Так у вас виртуалка имеет внешний интернет адрес или нет?

Клиент подключается к этому адресу, или к адресу балансера? Возможно на балансере неправильный режим, HTTP вместо TCP. Уже не помню, как там все это называлось.

 

  

5 hours ago, dr Tr0jan said:

до одного из клиентов не доходят SYN-пакеты (подозреваем, что он тоже может на AWS жить).

Так пробейте его по IP, где он хостится. Что-то я запутался, кто куда подключается.

---

Хм, я помню, что у нас был адрес балансера, и отдельный адрес для доступа по SSH, который менялся после каждого ребута. Но вешался ли этот адрес на саму виртуалку в упор не помню.

Edited November 14 by naves

[dr Tr0jan]

On 11/14/2025 at 5:40 PM, naves said:

Так у вас виртуалка имеет внешний интернет адрес или нет?

Внутри самой виртуалки (ifconfig) IP серый - в AWS EC2 по-другому нельзя, насколько я знаю.

На EC2 машине есть Public IP, который full-cone натится в серый.

 

On 11/14/2025 at 5:40 PM, naves said:

Клиент подключается к этому адресу

Клиент подключается к этому адресу.

Или я с этого адреса подключаюсь к клиенту.

On 11/14/2025 at 5:40 PM, naves said:

или к адресу балансера?

Можно без балансера. Ничего не меняется с точки зрения невозможности съёма дампа трафика.

Есть три тачки EC2 - на одной стандартный динамический Public IP, на другой Elastic IP, на третьей балансер (TCP, разумеется) - поведение везде одинаковое.

 

On 11/14/2025 at 5:40 PM, naves said:

Так пробейте его по IP, где он хостится. Что-то я запутался, кто куда подключается.

Конкретно в этом случае - хостится на Хецнере.

Однако, есть бизнес-процесс предоставления дампов в диспутах со всеми клиентами (клиенты по всему миру живут, кто в Azure, кто в AWS, кто в Хецнере)ё, и очень непонятно, как быть в этой ситуации?

[Veroncheg]

в aws же есть vpc flow logs

[dr Tr0jan]

On 12/1/2025 at 11:51 AM, Veroncheg said:

в aws же есть vpc flow logs

Насколько понял, там серые IP. Сам лично не видел, но коллеги видели только серые.