Subnets.ru

[Андрей]

Кстати, раз речь зашла о tcpdump'е и о том, чтобы смотреть, что идет на шлюз от клиентов.
Или я чего не понял, или ман не так перевел.
Как правило я встречал такое описание:

Код: Выделить всё

tcpdump -ni <interface> [host <ip_or_name> type <tcp/udp> port <port_number>]

т.е. я могу смотреть на конкретном ифейсе, что идет ко мне / от меня. А дальше разные фичи типа отсеивания ip, портов, типов пакетов и т.п. Но не разу не натыкался чтобы можно было сниффить что конкретно идет на некий ip от всех абонентов.

просвятите.

[root]

Но не разу не натыкался чтобы можно было сниффить что конкретно идет на некий ip от всех абонентов

ты сам себе написал ответ:

А дальше разные фичи типа отсеивания ip, портов, типов пакетов и т.п.

как напишешь фильтр, то и увидишь

просвятите

10.10.0.0/16 - подсеть абонентов
1.1.1.1 - хост в инете
em0 - сетевой интерфейс в сторону абонентов
получаем команду:

Код: Выделить всё

tcpdump -ni em0 net 10.10.0.0/16 and host 1.1.1.1

и ещё конкретнее:

Код: Выделить всё

tcpdump -ni em0 src net 10.10.0.0/16 and dst host 1.1.1.1

[Андрей]

тогда ясно. получается, что он мне не выводил из-за фильтра.
А есть возможность выводить все?

[root]

А есть возможность выводить все?

не задавай фильтра - получишь все

Код: Выделить всё

tcpdump -ni em0

[Андрей]

не задавай фильтра - получишь все

ip на машине 10.10.254.128, и вижу я пакеты только для нее. Машина смотрит на шлюз 10.10.0.1 и ни одной записи типа:

Код: Выделить всё

10.2.1.2.* > 10.10.0.1.*

[root]

Машина смотрит на шлюз 10.10.0.1 и ни одной записи типа:

мда...
и что с того что он для нее шлюз ?
а с чего ты решил, что машина запрашивает соединенем с самим 10.10.0.1 ?
машина запрашивает соединения с хостами доступными через шлюз, но к самому шлюзу она соединений не устанавливает, потому таких пакетов ты и не увидишь

ip на машине 10.10.254.128, и вижу я пакеты только для нее.

либо ты выставил такой фильтр или других пакетов просто нет

[Андрей]

Получается сниффить пакеты идущие от 10.1.1.2 к 10.10.0.2 через 10.10.0.1 с машины 10.10.0.3 нельзя?

[lehisnoe]

Получается сниффить пакеты идущие от 10.1.1.2 к 10.10.0.2 через 10.10.0.1 с машины 10.10.0.3 нельзя?

Снифать можно, только результата не будет, т.к. свитч шлет пакеты не во все порты, а только в порт, за которым находится получатель трафика (и в этом его отличие от хаба).

[Андрей]

Снифать можно, только результата не будет, т.к. свитч шлет пакеты не во все порты, а только в порт, за которым находится получатель трафика (и в этом его отличие от хаба).

Ну да. Т.к. в свитче 1 порт это домен коллизий, а в хабе - 1 девайс является доменом коллизий. По этому на свитче трафик прослушать трудно или почти не возможно, в отличие от хаба.

[root]

Снифать можно, только результата не будет, т.к. свитч шлет пакеты не во все порты, а только в порт, за которым находится получатель трафика (и в этом его отличие от хаба).

Ну да. Т.к. в свитче 1 порт это домен коллизий, а в хабе - 1 девайс является доменом коллизий. По этому на свитче трафик прослушать трудно или почти не возможно, в отличие от хаба.

раз ты это понимаешь, то тогда я не понимаю к чему был твой вопрос:

Получается сниффить пакеты идущие от 10.1.1.2 к 10.10.0.2 через 10.10.0.1 с машины 10.10.0.3 нельзя?

надеюсь ты реально понимаешь как передается трафик в IP-сетях
т.к. если присоседить сюда и вот это:

Машина смотрит на шлюз 10.10.0.1 и ни одной записи типа:
10.2.1.2.* > 10.10.0.1.*

то может слодится впечатление, что ты все же не понимаешь этого