日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
CentOS7配置網(wǎng)卡端口鏡像

背景

最近一直在研究旁路監(jiān)測,需要設置一個源端口鏡像給兩個目的端口(分別接兩個監(jiān)測設備),無奈ip-com交換機沒配置明白,研究下使用軟件實現(xiàn)暫時代替。

環(huán)境

發(fā)行版、內核、iptables版本信息如下

[root@ted ~]# uname -a
linux ted 3.10.0-327.el7.x86_64 #1 SMP Thu Nov 19 22:10:57 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux
[root@ted ~]# cat /etc/RedHat-release 
CentOS Linux release 7.2.1511 (Core) 
[root@ted ~]# rpm -qi iptables
Name        : iptables
Version     : 1.4.21
Release     : 17.el7
Architecture: x86_64

配置

部署圖大致如下

辦公網(wǎng)某主機IP: 192.168.118.1(演示時用的VMware的NAT模式,宿主機)

監(jiān)測服務器A網(wǎng)卡eth0:192.168.118.134(演示時用的VMware的NAT模式,VM)

監(jiān)測服務器A網(wǎng)卡eth1:192.168.12.13(演示時用的VMware的VMnet9,VM)

監(jiān)測服務器B網(wǎng)卡eth0:192.168.12.12(演示時用的VMware的VMnet9,VM)

在監(jiān)測服務器A上執(zhí)行如下命令

查看路由設置

[root@ted ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.118.2   0.0.0.0         UG    100    0        0 eth0
192.168.12.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.118.0   0.0.0.0         255.255.255.0   U     100    0        0 eth0

所有192.168.12.0網(wǎng)段的流量都走eth1網(wǎng)卡(此網(wǎng)卡與服務器B的eth0直連)

配置只需一條命令

[root@ted ~]# iptables -I PREROUTING -t mangle -i eth0 -j TEE --gateway 192.168.12.12
[root@ted ~]# iptables-save

所有eth0的進口流量包都會被復制一份發(fā)到192.168.12.12上(從路由表上看出,先走eth1網(wǎng)卡,再到服務器B的eth0)

使用

在服務器A上用tcpdump抓包(開兩個終端)

[root@ted ~]# tcpdump -i eth0 tcp port 80 -w A-eth0.pcap
[root@ted ~]# tcpdump -i eth0 tcp port 80 -w A-eth1.pcap

在服務器B上用tcpdump抓包

[root@min-base ~]# tcpdump -i eth0 tcp port 80 -w B-eth0.pcap

 在服務器A上開httpd服務器,用辦公網(wǎng)主機訪問該服務

結果

監(jiān)測服務器A、B都得到了鏡像流量。

這里為了演示,使用“辦公機訪問服務器A的httpd服務”代替“辦公網(wǎng)鏡像流量”,實際情況應該是服務器A網(wǎng)卡eth0是不配置IP的。

缺點

iptables-TEE實現(xiàn)端口鏡像會改變源MAC、目的MAC

TODO

這里沒有實現(xiàn)回包鏡像,我再研究研究。。。

在服務器A上再執(zhí)行一條iptables規(guī)則

[root@ted ~]# iptables -I POSTROUTING -t mangle -o eth0 -j TEE --gateway 192.168.12.12

把從eth0出去的流量包都鏡像一份發(fā)到192.168.12.12上就可以啦~~


網(wǎng)站標題:CentOS7配置網(wǎng)卡端口鏡像
網(wǎng)頁鏈接:http://www.dlmjj.cn/article/djijeeh.html