工作中的问题，IPTABLE旁路监听数据包

ljcai123

只是个人爱好，总的来说单位网还算比较太平，犯不着求领导施舍

ljcai123

换了个方法解决了，又找个人网卡，把电脑串到防火墙前面了，现在已能监控数据包了

platinum

具体说说怎么做的？

daemeon

You can't do that on netfilter hook of IP stack, because packets for other host are droped immediately when they reach IP Layer.

[ 本帖最后由 daemeon 于 2005-12-29 22:35 编辑 ]

platinum

原帖由 daemeon 于 2005-12-29 22:13 发表
You can't do that at netfilter hook of IP stack, because packets for other host are droped immediately when they reach IP Layer.

记得看到过一个协议分析设备，旁接的，交换机做端口镜像，它能分析出网络里都跑什么协议
这个是怎么实现的呢？

daemeon

raw socket or on netfilter hook of bridge.

platinum

原帖由 daemeon 于 2005-12-29 22:37 发表
raw socket or on netfilter hook of bridge.

明白了，实际就是让数据包过 netfilter，而不是“接触” ^_^
能否再讲一下 raw socket 的东西呢？

[ 本帖最后由 platinum 于 2005-12-29 23:39 编辑 ]

daemeon

fd = socket(AF_PACKET, SOCK_RAW, htons(ETH_P_ALL));

ljcai123

受教了，我不过是在这台准备分析协议的电脑上又装了个网卡，搞成了个双网卡防火墙，让它与领导不让动的那个防火墙串联起来了而已，电脑上不设过滤规划，只记日志，用了个最笨的办法，呵呵

platinum

原帖由 ljcai123 于 2005-12-30 01:14 发表
受教了，我不过是在这台准备分析协议的电脑上又装了个网卡，搞成了个双网卡防火墙，让它与领导不让动的那个防火墙串联起来了而已，电脑上不设过滤规划，只记日志，用了个最笨的办法，呵呵

透明网桥？
然后 iptables -A FORWARD -j LOG 这样？