Sniffa trafik med iptables

Post by **linc** » 2009-02-05 18:34:08

Ponera att jag har ett nätverk som ser ut såhär:

[linuxmaskin]-[switch]-[corenät]
                   |
[diverse maskiner]-+

De där diverse maskinernas swithcportar är speglade i switchen till linuxmaskinens switchport, så den får in -all- trafik som går på de portarna.

Jag vill nu, i linuxmaskinen, filtrera och räkna och allmänt leka med paketen i iptables, men jag får inte iptables att registrera trafiken. Satte som ett test upp en regel med target LOG på allt som kom till tabellen raw, kedjan PREROUTING, men får bara ut broadcasts och multicasts -- även om jag sätter interfacet (eth0) i promiscous mode.

Så min fråga då... hur får jag in -alla- ip-paket i iptables?

Edit: och ja, jag vill använda iptables till detta, och nej, jag vill inte använda något libpcap-baserat verktyg.. :)

deegan · Post by **deegan** » 2009-02-06 11:15:44

borde det inte räcka med att sätta nätverskortet i Promiscous mode? eller du kanske redan har gjort det?

snigel · Post by **snigel** » 2009-02-06 11:25:11

deegan wrote:borde det inte räcka med att sätta nätverskortet i Promiscous mode? eller du kanske redan har gjort det?

Fredrik Ågren wrote:...även om jag sätter interfacet (eth0) i promiscous mode.

Post by **linc** » 2009-02-06 20:33:48

Har löst problemet. Lösningen var att lägga interfacet i en brygga och slå på ipv4-forwarding för det interfacet. Det spelar ingen roll om interfacet är i promiscuous mode eller inte.