marca mangle en tcpdump
Aldrin Martoq
amartoq en dcc.uchile.cl
Jue Abr 17 07:07:14 CLT 2008
On Thu, Apr 17, 2008 at 12:06 AM, Miguel Oyarzo O. <admin en aim.cl> wrote:
> No puedo encontrar documentacion que me diga qué octeto o posicion
> de la cabecera tcp afecta mangle.
> Intento hacer tcpdump -n -i iface tcp[octeto] == marca
> para ver en tiempo real por que interfaz
> se intentan ir unos paquetes con ciertas marcas que puse
> si hay algun parametro especifico mejor (en iptables 1.4/debian) no lo
> puedo encontrar
Te refieres a iptables?
Si es asi, depende de que hace tu regla. Puedes mostrarla? Aca un ejemplo:
# tcpdump -nvi eth0 icmp & sleep 1 && ping -c 1 192.168.0.1
06:50:36.062751 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto
ICMP (1), length 84) 192.168.0.6 > 192.168.0.1: ICMP echo request, id
25401, seq 1, length 64
# iptables -t mangle -A OUTPUT -p icmp -d 192.168.0.1 -j TTL --ttl-set 1
# tcpdump -nvi eth0 icmp & sleep 1 && ping -c 1 192.168.0.1
06:51:11.205309 IP (tos 0x0, ttl 1, id 0, offset 0, flags [DF], proto
ICMP (1), length 84) 192.168.0.6 > 192.168.0.1: ICMP echo request, id
15417, seq 1, length 64
Ojo que mangle es una tabla, relacionado con la estructura interna de
netfilter (aka iptables). Es decir, mangle no modifica los paquetes,
sino quien hace eso son los targets (-j XXXXX es un target, en este
caso TTL). Ademas, hay targets que modifican estados internos de
netfilter que nunca salen al exterior. Ejemplo, -j CONNMARK, el cual
modifica estados internos (una tabla de conexiones), cosa que nunca
veras cuando estan en la red (como en un tcpdump)...
...y netfilter modifica los paquetes en varias partes si asi lo
deseas. Mangle es una tabla extra para mantener el filtrado (aka
firewall) y connection tracking (nat) con reglas faciles de describir,
que era uno de los problemas de ipchains...
BTW, que estas haciendo ???
--
Aldrin Martoq
Episodio 002 (Lunes 24 Marzo)!
http://aldrinvideopodcast.podshow.com/
Más información sobre la lista de distribución Linux