用 iptables 将网卡流量镜像到另一个主机

最新推荐文章于 2025-10-08 13:20:59 发布
原创 最新推荐文章于 2025-10-08 13:20:59 发布 · 2.8k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#大数据 #网络

本文介绍了一种在VMware vCenter环境下使用iptables的tee功能实现网络流量镜像的方法,适用于无法构建独立虚拟交换机的情况。该方法通过复制报文并以网关方式发送给目标主机,便于进行网络数据包程序的测试。

       最近在开发一个网络数据包的程序,平常测试的时候用tcpreplay 回放本地流量,或监听管理流量就可以,需要联调的时候就需要接入实时流量,一般是通过开启交换机的镜像口功能,将流量接入设备。

     我的测试环境是vmware vcenter 环境,产生数据是另外一个主机,数据的产生依赖于vm network,没办法构建独立的虚拟交换机,经过研究发现 iptables 的 tee 功能具有报文镜像功能。

TEE target options:
  --gateway IPADDR    Route packet via the gateway given by address
  --oif NAME          Include oif in route calculation

原理是复制一份报文,以网关的方式发送给目标主机,即修改目的MAC为目标主机转发过去,所以在同一个子网内,交换机可以将报文传送过去。

 命令如下:

iptables -t mangle -I PREROUTING 1   -j TEE --gateway 192.168.1.164
iptables -t mangle -I POSTROUTING 1  -j TEE --gateway 192.168.1.164

通过抓包发现两个方向的报文的二层MAC地址都是一样的。

 

 

如果需要增加IP 或端口过滤,和普通命令一样。 我这里是数据库的业务,所以需要  PREROUTING 和 POSTROUTING 上分别增加规则,一条对本机收到报文,一条对发出的报文。

此方法可以解决需要镜像流量的问题,方便测试,从原理上看会影响一部分cpu和内存,不建议用到实际生产环境中。

 

批量自动化一键部署虚拟机,支持指定CPU核心、内存大小、硬盘大小,并基于虚拟网桥虚拟网卡实现虚拟机IP分配以及流量转发,把内网虚拟机映射到公网外网使用,不需要在虚拟机中安装任何插件或服务
代码讲故事
10-24 735
批量自动化一键部署虚拟机,支持指定CPU核心、内存大小、硬盘大小,并基于虚拟网桥虚拟网卡实现虚拟机IP分配以及流量转发,把内网虚拟机映射到公网外网使用,不需要在虚拟机中安装任何插件或服务。
iptables数据转发/镜像
for_dream1205的博客
10-20 3039
网口数据转发 iptables -t nat -A PREROUTING -p udp --dport 12345 -i enp8s0 -j DNAT --to 192.168.0.4:12345 pc2与pc1通过enp8s0网口连接,pc2将接收到的pc1的数据转发到pc3的指定端口。端口可以不指定。 查看iptables 规则 iptables -nL --line-number 网口数据镜像 2.把某个源IP的包镜像发到指定的IP iptables -t mangle -..
【TCP/IP】【调试】丢包、流不通、错包等问题查证手段系列之五——iptables实现镜像(克隆)
一介草民,只为生活。
12-20 1319
使用iptables的tee选项,即可实现把某台主机上的流量镜像到同一个网段或路由可达的其它机器做分析。
华为网络设备上使用MQC配置流量镜像
最新发布
2201_75459440的博客
10-08 812
华为MQC流量镜像配置指南:通过配置观察端口、流分类(ACL规则)、流行为(镜像动作)和流策略,实现精准监控特定流量。以监控研发部访问市场部IP流量为例,需在接口入方向应用策略,并注意ACL规则必须为permit、观察端口专用等要点。配置后需验证,并注意性能影响和功能冲突等注意事项。进阶可监控特定协议或配置远程镜像。
Linux如何实现镜像端口
互联网
12-22 2244
在所有高端型号,大多数中端型号以及部分低端型号的交换机/路由器上,都可以配置一个或者多个镜像端口,它是流量分析的利器。然而,Linux上没有现成的技术可以实现镜像端口,当然,我指的不是Linux 3.x(x是几,忘了)以上的内核,这些内核已经支持了镜像,但不够好。起码2.6.35的内核是不能支持的,那么Linux实现的软交换机属于哪个档次呢?关键是,很多高端的网络产品也是基于Linux实现的,没有...
iptables TEE使用技巧
sxd2001的博客
12-06 2462
iptables TEE使用技巧以及--gateway ipaddr参数作用
iptables目标TEE
redwingz的博客
06-12 1635
TEE目标帮助信息如下。 如下测试拓扑: 在主机192.168.1.111上配置如下的策略,将与192.168.1.105交互的icmp报文重定向到主机192.168.1.114。 在主机192.168.1.105执行ping操作。 在主机192.168.1.114执行tcpdump,可以看到主机1.105和1.111的icmp交互报文。 TEE目标使用到如下的模块: TEE目标 初始化函数tee_tg_init如下,其注册了命名空间结构,以及TEE目标结构tee_tg_reg。 命名空间初始化时,初始化空
使用 Iptables 命令详细图文教程
GG Bond 的博客
06-08 1万+
使用 Iptables 详细图文教程
linux下端口镜像,linux – 使用iptables过滤镜像端口流量
weixin_28957321的博客
04-30 756
我从镜像端口接收流量,我想将其发送到NFQUEUE进行处理.由于镜像端口,数据包目标MAC地址不是我的主机MAC地址.因此,流量永远不会达到我的NFQUEUE. (如果我拿一个数据包并使用Scapy手动用我的主机MAC地址替换目标MAC地址,它可以工作)即使在过滤管道中尽快应用iptable规则,它也不能与镜像端口一起使用:iptables -A PREROUTING -t raw -j NFQU...
[daily][mirror][daemonlogger][tc] 我想把一个网卡(port A)的流量,镜像到虚拟机的一个网卡(port VA)上去...
weixin_30355437的博客
06-29 701
iptables tee 模块 https://blog.gnuers.org/?p=740 http://blog.youkuaiyun.com/wesleyflagon/article/details/38588507 tcpcopy: 没试过,不知道这玩意行不行。 https://github.com/session-replay-tools/tcpcopy 其他: ...
Linux之安全iptables详解
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
08-21 3322
IPtables概述】 谈到iptables,其实它并不是一个单独的个体,它是 netfilter/iptables IP 信息包过滤系统中两个组件 netfilter 和 iptables的其中一个。Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架简洁灵活,可实现安全策略应用中的许多功能,如:数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址...
IPS:Suricata结合iptabale来实现对来访内网流量监控与防御
qq_39330735的博客
03-24 1541
运用Suricata结合iptables来实现IPS入侵防御系统,实现对流量的检测和监控,并将存在威胁的流量进行阻断。
华为云云主机网卡绑定公网ip并做nat
qq_44309067的博客
03-26 636
问题背景 在华为云采用三节点部署openstack stein版本 eth0 192.168.0.11 controll1 192.168.0.21 database1 192.168.0.31 compute1 eth1 192.168.10.11 controll1 192.168.10.21 database1 192.168.10.31 compute1 控制节点绑定了一个公网ip,主网卡eth0做租户网段,副网卡绑定公网ip做管理网段同时兼做snat服务器。 按常规的配路由表、iptables
k8s和ipvs、lvs、ipvsadm,iptables,底层梳理,具体是如何实现的
2401_84019227的博客
10-16 2812
(这里说一下,常用的snat源地址网络地址转换,内网机器上外网就是在这个点做改变,把数据包的源ip,本来是内网ip,出站的时候改成公网ip,就可以访问公网服务了,这个操作,的点,就是在内核模块netfilter的postrouting这个点上来执行的,具体操作方式是netfilter内核模块的提供的命令行工具iptables,然后在命令行设置规则,netfilter在内核层面就是运用这些规则)总结的是,iptables调用netfilter模块,可以实现流量更精细的控制,等于说,功能多。
Linux镜像克隆网卡流量
niaooer的博客
03-17 4596
Linux镜像克隆网卡流量原理利用linux网桥镜像克隆流量利用iptables tee模块实现流量镜像结合两种功能可实现全局一对多 系统版本:Cent0s7.4 3.10.0-693.el7.x86_64 原理 1.Bridge(桥)是 Linux 上用来做 TCP/IP 二层协议交换的设备,与现实世界中的交换机功能相似。Bridge 设备实例可以和Linux 上其他网络设备实例连接,既 attach 一个从设备,类似于在现实世界中的交换机和一个用户终端之间连接一根网线。当有数据到达时,Bridge 会
利用iptables将一台机子的某个端口的流量转发到一个机子的某个端口
giantbranch的专栏
01-14 3660
例子:666端口转发到XXXXXXXX:7777端口 iptables -t nat -A PREROUTING -p tcp --dport 666 -j DNAT --to-destination XXXXXXXX:7777 iptables -t nat -A POSTROUTING -j MASQUERADE
iptables流量转发的一个例子
zxnbmk的博客
10-02 1350
现在想要将访问A主机8080端口的流量转发到主机B的80端口,并且将B的反馈返还给访问者。
iptables做端口镜像(复制报文)
热门推荐
wesleyflagon的专栏
08-15 1万+
有一种做端口镜像的技术,将网卡上所有报文复制到一个网卡上。
linux 双网卡桥接,实现网卡流量镜像与转发
weixin_30725315的博客
04-10 1789
确认本地是否存在brctl,如果不存在请先安装;    1.确定你的镜像端口,比如eth1; 2.将实际数据通过的端口,比如eth0和镜像端口绑成一个bridge; brctl addbr br0 brctl addif br0 eth0 brctl addif br0 eth1 使用命令查看 brctl show bridge nam...
linux主机打了tag,二层交换机做了vlan方通但是主机到vlanif的网络不同
08-05
<think>首先,用户的问题是关于Linux主机配置了VLAN标签但无法与VLAN接口通信的排查方法。问题涉及Linux主机、二层交换机、VLAN配置和VLANIF接口(通常是路由器的VLAN接口)。 用户提供的引用是关于VLAN配置和通信问题的示例,但不是直接相关。我需要基于这些引用和一般知识来构建回答。 关键点: - Linux主机配置了VLAN tag:这意味着主机使用VLAN接口(如eth0.10 for VLAN 10)。 - 二层交换机已配置VLAN放行:交换机端口应该允许相关VLAN通过。 - 主机无法与VLANIF接口通信:VLANIF接口是路由器上的接口,用于VLAN间路由。 可能的故障点: 1. Linux主机配置错误:VLAN接口配置不正确。 2. 交换机配置错误:端口模式(access/trunk)或VLAN允许列表错误。 3. 路由器配置错误:VLANIF接口配置或路由问题。 4. 物理连接问题:电缆或端口问题。 5. ARP问题或生成树问题(如引用[3]提到)。 引用[3]提到了一些原因: - ARP问题:没有携带VLAN tag的ARP广播可能被错误处理。 - 生成树问题:端口阻塞导致数据帧无法发送。 回答结构: - 由于用户要求结构清晰、逐步解决,我应该提供分步排查方法。 - 使用中文回答。 - 在行内数学表达式使用$...$,独立公式用$$...$$(但在这个问题中可能不需要数学公式)。 - 生成相关问题。 步骤: 1. **确认基本连接**:检查物理层和IP配置。 2. **检查Linux主机配置**:验证VLAN接口是否正确设置。 3. **检查交换机配置**:确保端口允许相关VLAN通过。 4. **检查路由器配置**:确保VLANIF接口配置正确。 5. **检查ARP和路由**:使用工具如ping、arp、tcpdump。 6. **检查生成树协议**:如果交换机端口阻塞。 7. **其他常见问题**:如防火墙规则。 生成相关问题: - 基于这个主题,生成几个相关问题,如如何配置Linux VLAN、如何调试网络问题等。 最终输出: - 回答部分:逐步排查方法。 - 相关问题部分:列出3-5个相关问题。</think>### Linux主机配置VLAN标签无法与VLANIF接口通信的排查方法 当Linux主机配置了VLAN标签(如`eth0.10` for VLAN 10)、二层交换机已放行相关VLAN,但主机无法与路由器上的VLANIF接口(如VLANIF10)通信时,问题可能出在配置错误、协议问题或物理层故障。以下是一个结构化的排查方法,逐步从底层到高层进行诊断。排查过程基于常见网络原理和VLAN通信机制[^1][^3]。 #### 步骤1: 验证基本物理连接和IP配置 - **检查物理层连接**: - 确认Linux主机、交换机和路由器之间的物理电缆连接正常(无松动或损坏)。 - 使用`ethtool <interface>`(如`ethtool eth0`)检查主机网卡状态(确保`Link detected: yes`)。 - 在交换机上,检查端口状态(如`display interface brief`),确保端口处于UP状态。 - **验证主机IP配置**: - 在Linux主机上,运行`ip addr show`或`ifconfig`,确认VLAN接口(如`eth0.10`)已正确配置IP地址、子网掩码,且属于目标VLAN的网段(例如,VLAN 10的IP应为192.168.10.0/24网段)。 - 确保主机的缺省网关指向路由器上对应的VLANIF接口IP(如VLANIF10的IP地址)[^1]。 - 使用`ping 127.0.0.1`测试本地环回,排除主机自身网络栈问题。 如果物理层和IP配置正常,但问题依旧,进入下一步。 #### 步骤2: 检查Linux主机VLAN配置 - **验证VLAN接口创建**: - 确保VLAN接口已正确创建。例如,对于VLAN 10,使用命令: ```bash ip link add link eth0 name eth0.10 type vlan id 10 ip addr add 192.168.10.2/24 dev eth0.10 # 假设VLANIF10 IP是192.168.10.1 ip link set eth0.10 up ``` - 检查VLAN ID是否一致:运行`cat /proc/net/vlan/<interface>`(如`cat /proc/net/vlan/eth0.10`),确认VLAN ID匹配交换机配置(如10)。 - **检查ARP和路由表**: - 使用`ip route show`查看主机路由表,确保到VLANIF接口的流量通过正确接口(如`via 192.168.10.1 dev eth0.10`)。 - 运行`arp -n`检查ARP缓存。如果无VLANIF接口的ARP条目,尝试`ping <VLANIF_IP>`同时抓包诊断(见步骤5)。 - **排除主机防火墙干扰**: - 临时禁用防火墙:`sudo iptables -F`(清除规则),然后测试通信。 - 如果恢复,检查防火墙规则是否允许VLAN流量(如`iptables -L`)。 如果主机配置正确,但通信失败,问题可能在交换机或路由器[^2][^3]。 #### 步骤3: 检查二层交换机配置 - **验证端口VLAN设置**: - 确认交换机端口连接主机设置为access或trunk模式: - 如果是access端口,确保PVID(Port VLAN ID)匹配主机的VLAN ID(如10)。 - 如果是trunk端口,确保允许相关VLAN通过(如`port trunk allow-pass vlan 10`)。 - 引用[2]中的示例:检查接口是否属于正确的VLAN(如`display port vlan active`)。 - 在交换机上,使用类似`display vlan`的命令,确认VLAN存在且端口成员正确(如VLAN 10包含主机和路由器连接端口)。 - **检查生成树协议(STP)**: - 生成树问题可能导致端口阻塞(如处于Listening或Blocking状态),阻止数据帧转发[^3]。 - 在交换机上运行`display stp brief`,检查所有端口状态是否为Forwarding。 - 如果端口阻塞,临时禁用STP测试:`stp disable`(但仅在测试环境使用,避免环路)。 - 确保所有交换机使用兼容的STP协议(如RSTP或MSTP),避免厂商间不兼容问题[^3]。 如果交换机配置正常,但主机仍无法通信,问题可能出在路由器或协议层。 #### 步骤4: 检查路由器VLANIF接口配置 - **验证VLANIF接口**: - 在路由器上,确认VLANIF接口(如VLANIF10)已创建并启用: - IP地址配置正确(如192.168.10.1/24),且与主机在同一子网。 - 接口状态为UP(使用类似`display interface vlanif10`的命令)。 - 确保路由表包含到主机网段的路由(如直连路由应自动生成)。 - **检查路由器ARP和转发**: - 在路由器上,查看ARP表(如`display arp`),确认主机的VLAN接口MAC地址已学习。 - 如果无ARP条目,检查路由器是否启用ARP代理或安全特性(如端口安全)。 #### 步骤5: 使用抓包工具诊断协议问题 - **在Linux主机上抓包**: - 使用`tcpdump`捕获VLAN流量: ```bash tcpdump -i eth0.10 -nnv 'arp or icmp' # 过滤ARP或ICMP包 ``` - 分析输出: - 如果主机发送ARP请求但无响应,可能交换机或路由器未正确处理带VLAN tag的帧(如引用[3]所述:无tag的ARP广播可能被打上错误VLAN标签)。 - 确保ARP请求携带正确的VLAN tag(802.1Q头部)。 - **在交换机或路由器上抓包**: - 如果支持,在交换机端口镜像流量,用Wireshark分析: - 检查VLAN tag是否在帧中正确保留(tag值应匹配配置)。 - 查找ARP或ICMP包是否被丢弃(如由于VLAN不匹配或ACL)。 #### 步骤6: 其他常见故障点 - **VLAN标签处理不一致**: - 引用[3]提到:无tag的帧进入trunk端口可能被打上默认VLAN(如VLAN 1),导致广播域错误。确保所有设备处理tag一致(主机发送带tag帧,交换机端口配置为保留tag)。 - **MAC地址或IP冲突**: - 检查主机和VLANIF接口的MAC/IP是否唯一(使用`arp-scan`工具)。 - **性能或资源问题**: - 在主机或路由器上,检查CPU/内存使用(如`top`),排除资源瓶颈导致丢包。 #### 总结排查流程 1. 从物理层开始,逐步到应用层。 2. 优先确认主机和VLANIF接口的IP/subnet/gateway一致。 3. 使用工具(`ping`, `tcpdump`, `arp`)隔离问题点。 4. 如果所有步骤正常,但问题依旧,考虑硬件故障或固件bug(更新驱动或固件)。 如果上述方法无效,提供更多细节(如配置片段或抓包输出)可进一步分析[^1][^2][^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值