nixp.ru v3.0

18 октября 2017,
среда,
12:24:29 MSK

DevOps с компанией «Флант»
Ping_Win написал 5 февраля 2006 года в 11:53 (483 просмотра) Ведет себя неопределенно; открыл 73 темы в форуме, оставил 102 комментария на сайте.

Ребят, здарова!

Вот имеется в наличии у меня небольшой сервак, имеется локалка машин на 100.

Хочу поставить слабенькую машину как логер обращения к серверу.

Но есть вопросы:

1) Необходима полная её невидимость для остальных машин в сети. Можно ли, скажем, перерезать провода в витой паре отвечающие за исходящий трафик и тем самым оставив только входящие?

2) Сервер и логер находятся в одном сегменте, от сети их отделяет свитч. Хотел поставить после свича хаб, чтоб пакеты летели не только на сервак но и на логер, но хабов сейчас в магазинах что-то совсем не стало, везде свичм предлагают.

Вот и не знаю как сделать чтоб пакеты, предназначенные серверу, попадали на вторую машину.

Спасибо!

Genie

а зачем так?

syslog(-ng) тебе в руки.

у iptables есть -j LOG

вот этот поток и отправляй на эту машинку.

а чтобы не было видно для других — посади на отдельный выделенный прямой интерфейс до сервера.

Ping_Win

Насколько я понимаю, в этом случае на машину будут приходить лишь пакеты предназначенные именно ей, а не серверу по причине расположенного свича.

Тем более в этом случае машину будет видно, и даже если ей не присваивать IP переводя сетевуху в неразборчивый promisc режим, то на arp запросы она будет отвечать.

Genie
то на arp запросы она будет отвечать.

а какому компу она, кроме сервера, будет видна при

посади на отдельный выделенный прямой интерфейс до сервера.
Ping_Win

А как же быть с IP адресом сервака? Т.е. надо чтоб пакеты шли не только на него, но и на вторую машину! Свича ведь не позволит этого!

Genie

ну, честно говоря, я тут наивно предположил, что у тебя сервер на linux.

и на нём посредством «iptables … -j LOG …» и syslog(-ng) ты можешь перенаправить что нужно на другой сервер.

можно попробовать отправить весь поток. «iptables -t mangle … -j ROUTE --continue --oif ethN …»

правда, засаду с lo не пропусти. :)

ps: сие чисто теоретически, после прочтения man iptables

Ping_Win

Сервера на линуксе!

Перенаправляя поток на вторую машину, не лишится ли его сам сервер?

Кроме того, так как я жуткий параноик, то мне не хотелось бы светить второй, пусть и внутренний интерфейс сервера. Предположим, что хакер Вася, получил рута на серваке, тут он обнаружит второй интерфейс и начнет мудрить далее, в результате от логов ничего не останется. Ииенно по этой причине хотелось вторую машину настроить просто как слухач и больше ничего.

Genie
Перенаправляя поток на вторую машину, не лишится ли его сам сервер?

ну а что мешает проверить? вроде бы --continue именно для этого и указан в примере использования.

правда, надо перед этим поток с/на lo и от ethN как-то разрулить.

мне не хотелось бы светить второй, пусть и внутренний интерфейс сервера.

а он у тебя пусть будет просто «ifconfig ethN up». есть? есть. а что с ним делать, как Васе Пупкину его ломать? (правда, ipv6 предлагается оторвать самостоятельно)

тем более, что вторая машина будет точно также с «ifconfig eth0 up» и слушать посредством tcpdump-похожего? как без ардеса её ломать? через дырки в стёке tcp/ip? флаг в руки, что говорится.

Dmitry Ivanov

поставьте циску и настройте на ней мирроринг трафика ;)

дорого, просто и надежно

Ping_Win

А вообще такой вопрос интересует:

если в витой паре сделать обрезание пары проводов, отвечающих за исходящий трафик,

сможет ли сетевая плата принимать входящий, ну скажем если я сниффер поставлю?

Genie

насколько я помню, Protocol Negotiation, при котором определяется режим работы интерфейса, без этого не будет возможен. т.е. сетевая карточка не будет работать.