iptables TEE模块测试小记

于 2024-01-11 17:44:32 发布
阅读量903 收藏 7
点赞数 7
分类专栏: 随心记 文章标签: 模块测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38189542/article/details/135535308
版权
本文讲述了在公司项目中使用TEE模块进行服务器端口流量镜像时遇到的问题,通过tcpdump抓包发现数据转发失败是因为二层转发设置错误,需要配置转发服务器使用两个网卡以实现有效镜像,同时提到了iptables的使用注意事项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

概述

因为公司项目需求,需要对服务器特定端口进行流量镜像,各种百度之后,发现TEE的模块,后来一番折腾,发现被转发的机器死活收不到数据,最后tcpdump一通了解到根源,博文记录,用以备忘。

问题描述

Q: 很简单就是局域网内两台机器,通过TEE模块转发无法成功。
A: 后面通过tcpdump抓包对比了数据,发现TEE模块已经起作用了,因为是二层转发,gateway指定的是另外一台服务器,这导致转发的数据经过进来的网卡,然后又重新丢回了当前机器,这导致没有配置转发,数据接收正常;配置转发后,本地服务器收到一堆重复的数据(重复次数取决TTL)。从目前现象总结可以知道,TEE模块要真正起作用,转发服务器至少得两个网卡,这样转发的数据在二层就发送到了另外一个网卡完成流量镜像。

参考链接

iptables TEE使用注意事项
【TCP/IP】【调试】丢包、流不通、错包等问题查证手段系列之五——iptables实现镜像(克隆)

iptables扩展模块
qq_37369726的博客
03-18 1058
扩展模块一:multiport 作用:可以指定多个离散的源端口或者目标端口,也可以指定连续的端口 //离散的 iptables -I INPUT -s 192.168.247.170 -p tcp -m multiport --dports 22,36,80 -j DROP 80到88端口,这个功能tcp模块也能实现连续的 iptables -A INPUT -s 192.168.247.170...
ipt-netflow:适用于Linux内核的Netflow iptables模块(官方)
02-03
**ipt-netflow:适用于Linux内核的Netflow iptables模块** `ipt-netflow`是一个开源的iptables模块,专为Linux内核设计,用于在防火墙规则中集成Netflow流量记录功能。这个模块允许网络管理员在数据包通过网络时...
iptables目标TEE
redwingz的博客
06-12 1523
TEE目标帮助信息如下。 如下测试拓扑: 在主机192.168.1.111上配置如下的策略,将与192.168.1.105交互的icmp报文重定向到主机192.168.1.114。 在主机192.168.1.105执行ping操作。 在主机192.168.1.114执行tcpdump,可以看到主机1.105和1.111的icmp交互报文。 TEE目标使用到如下的模块TEE目标 初始化函数tee_tg_init如下,其注册了命名空间结构,以及TEE目标结构tee_tg_reg。 命名空间初始化时,初始化空
iptables TEE使用技巧
sxd2001的博客
12-06 2221
iptables TEE使用技巧以及--gateway ipaddr参数作用
iptables装载的一些常用模块
zjc801的专栏
01-14 207
modprobe ip_tables > /dev/null 2>&1 modprobe ip_conntrack > /dev/null 2>&1 modprobe iptable_nat > /dev/null 2>&1 modprobe ip_nat_ftp > /dev/null 2>&1 modpro...
ubuntu14.04 xt_TEE and iptables
mounter625的专栏
02-04 2977
1. a host +-----------------------------------------+ |eth0                          eth1       | |128.224.162.180               up         | +-----------------------------------------+ 2. mod
linux tee
ysdaniel的专栏
08-26 2506
linux tee命令 linux tee命令详解 tee 功能说明:读取标准输入的数据,并将其内容输出成文件。 语   法:tee [-ai][--help][--version][文件…] 补充说明:tee指令会从标准输入设备读取数据,将其内容输出到标准输出设备,同时保存成文件。我们可利用tee把管道导入的数据存成文件,甚至一次保存数份文件。 参   数:-a 附加
iptables 模块
03-18
New netfilter match 描述了 iptables -m 中一些常用的模块功能,参数,配置实例,例如: ah-esp condition conntrack fuzzy iplimit ipv4options length nth pkttype u32 等,基本全部模块
对Linux系统中的iptables过滤模块的改进.pdf
09-07
对Linux系统中的iptables过滤模块的改进.pdf
iptables 跨网段转发
Bpazy的博客
03-21 3203
网络结构如下 需求 PC 只能访问到 Linux,需要 Linux 转发数据包,使得 PC 可以访问到路由器。 使用 iptables 转发 iptables -t nat -I PREROUTING -p tcp --dport 10000 -j DNAT --to-destination 192.168.0.1:80 iptables -t nat -I POSTROUTING -p tcp...
iptables数据转发/镜像
for_dream1205的博客
10-20 2867
网口数据转发 iptables -t nat -A PREROUTING -p udp --dport 12345 -i enp8s0 -j DNAT --to 192.168.0.4:12345 pc2与pc1通过enp8s0网口连接,pc2将接收到的pc1的数据转发到pc3的指定端口。端口可以不指定。 查看iptables 规则 iptables -nL --line-number 网口数据镜像 2.把某个源IP的包镜像发到指定的IP iptables -t mangle -..
iptables做端口镜像(复制报文)
热门推荐
wesleyflagon的专栏
08-15 1万+
有一种做端口镜像的技术,将网卡上所有报文复制到另一个网卡上。
【TCP/IP】【调试】丢包、流不通、错包等问题查证手段系列之五——iptables实现镜像(克隆)
年龄是最好的编译器,把浮躁编译成沉稳,把焦虑链接成从容。
12-20 1143
使用iptablestee选项,即可实现把某台主机上的流量镜像到同一个网段或路由可达的其它机器做分析。
iptables 将网卡流量镜像到另一个主机
aomeng的专栏
07-05 2648
一种简单的从网卡流量镜像的方法,需要安装其他软件,借用 iptablestee 功能将网卡流量到另一个主机
Linux如何实现镜像端口
互联网
12-22 2218
在所有高端型号,大多数中端型号以及部分低端型号的交换机/路由器上,都可以配置一个或者多个镜像端口,它是流量分析的利器。然而,Linux上没有现成的技术可以实现镜像端口,当然,我指的不是Linux 3.x(x是几,忘了)以上的内核,这些内核已经支持了镜像,但不够好。起码2.6.35的内核是不能支持的,那么Linux实现的软交换机属于哪个档次呢?关键是,很多高端的网络产品也是基于Linux实现的,没有...
Linux镜像克隆网卡流量
niaooer的博客
03-17 4325
Linux镜像克隆网卡流量原理利用linux网桥镜像克隆流量利用iptables tee模块实现流量镜像结合两种功能可实现全局一对多 系统版本:Cent0s7.4 3.10.0-693.el7.x86_64 原理 1.Bridge(桥)是 Linux 上用来做 TCP/IP 二层协议交换的设备,与现实世界中的交换机功能相似。Bridge 设备实例可以和Linux 上其他网络设备实例连接,既 attach 一个从设备,类似于在现实世界中的交换机和一个用户终端之间连接一根网线。当有数据到达时,Bridge 会
Android iptables规则
汽车以太网和SOA
02-05 5679
Android iptables规则
linux之安全防御(重点讲iptables
weixin_45537413的博客
07-09 1071
1、概述 常见的一些攻击手段如下: 拒绝服务(DOS):通过大量访问请求使得服务器资源耗尽,无法向正常用户处理请求连接。常见解决手段使用云服务商的流量清洗功能。(因为云服务商的资源池足够大,可以容纳攻击流量,并通过过滤常见的攻击类型流量然后再把正常流量给引导回正常的路径) 口令破解:常用攻击手法俗称“跑字典”,常用解决方案设置登录错误次数限制; 已知漏洞:通过已知漏洞进行数据获取或者提取,常见手段定时更新防御性补丁; 欺骗权限用户:又称社会工程学,通过欺骗权限用户得到授...
iptables内核模块
最新发布
01-03
### iptables内核模块概述 iptables 是 Linux 内置的一个强大的防火墙工具,其功能依赖于多个内核模块来实现网络流量过滤和地址转换等功能。iptable 的工作原理基于 netfilter 架构,在数据包通过不同链时对其进行匹配并执行相应操作[^1]。 对于 IPv4 协议栈而言,主要涉及以下几个重要的内核模块: - `ip_tables`:这是最基本的框架模块,负责处理所有的 IP 数据报文。 - `nf_conntrack_ipv4` 和其他连接跟踪模块:用于维护状态表,支持状态检测机制。 - 各种特定用途的扩展模块如 `iptable_nat`, `ipt_MASQUERADE` 等等,它们提供了额外的功能比如 NAT 转换、端口映射等等[^2]。 加载这些必要的内核模块可以通过命令行完成;通常情况下,当首次调用相关特性时会自动装载所需组件。然而有时可能需要手动干预以确保所有必需项都已就绪。 ```bash modprobe ip_tables lsmod | grep ip_tables ``` 上述脚本展示了如何显式地载入 `ip_tables` 模块以及验证它是否已经被成功加入到当前运行中的内核环境中去[^3]。 ### 常见问题及其解决方案 #### 无法保存规则集 如果遇到更改后的策略未能持久化的情况,则需确认是否有安装相应的服务程序(例如 RedHat/CentOS 下面的 `iptables-services`),或者是使用了不兼容的方式来进行设置存储。可以尝试利用如下方法之一来解决这个问题: - 安装并启用官方提供的管理套件; - 手动导出现有配置文件 `/etc/sysconfig/iptables` 或者 `/etc/iptables/rules.v4` 并在启动时重新导入; - 利用第三方软件如 `firewalld` 来代替传统方式管理防火墙规则[^4]。 #### 连接追踪超限错误 当观察到日志中有大量关于 conntrack 表满溢的消息时,这表明系统正在遭遇过多的同时建立的新连接请求超过了默认容量限制。此时应该考虑调整参数 `net.netfilter.nf_conntrack_max` 及关联的时间窗口大小 `net.netfilter.nf_conntrack_tcp_timeout_established` ,从而允许更大的并发量或是更长时间保持记录条目不变[^5]。 ```bash sysctl -w net.netfilter.nf_conntrack_max=1048576 echo "net.netfilter.nf_conntrack_max = 1048576" >> /etc/sysctl.conf ``` 以上命令临时修改最大连接数至 1,048,576,并将其永久写入配置文件以便重启后继续生效。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜晓码农

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值