ubuntuusers.de

tcpdump Linux bridge

Status: Gelöst | Ubuntu-Version: Nicht spezifiziert
Antworten |

Sessa135

(Themenstarter)

Anmeldungsdatum:
24. Mai 2017

Beiträge: 46

ip a

https://imgur.com/a/zgwj0bZ

ifconfig

Gleicher output wie "ip a"

route -n

Befehl "route" nicht gefunden

sudo iptables -nvx -L

https://imgur.com/x6fTZiI

Leider kann ich die Ausgabe als text hier nicht posten, da es eine lokale Testumgebung ist und das nur über Umwege möglich wäre. Ich hoffe, dass die Bilder erst mal reichen. Werde ich editieren, wenn alles läuft.

Sessa135

(Themenstarter)

Anmeldungsdatum:
24. Mai 2017

Beiträge: 46

Hat noch jemand eine Idee?

dirkolus

Anmeldungsdatum:
17. Mai 2011

Beiträge: 2178

Wohnort: dahoam

Ich gehe mal davon aus, dass Dein Netzwerk über die Bridge funktioniert, dass Du also Netzwerk-Verbindungen über die Bridge aufbauen kannst, oder? Hast Du mal vesucht, eine andere TCP-Verbindung (Webserver, FTP, ssh, ...) aufzubauen und mit tcpdump zu sniffen? Wie gesagt, ICMP sollte eigentlich nicht im Fokus liegen ...

Ich habe exakt ein solches Setup seit Jahren am Laufen, ich filtere mit einer Bridge auf der Himbeere http-Requests und logge sie. da ist eigentlich nichts dabei.

Dirk

Sessa135

(Themenstarter)

Anmeldungsdatum:
24. Mai 2017

Beiträge: 46

Ja, habe auch schon http / https Traffic erzeugt. Leider wurde auch der nicht im dump gesichtet.

Nur so nebenbei: Ich setze den dump bei den Tests immer auf alle 3 Interface (LAN1, LAN2, br0). Allerdings reicht es doch hier vollkommen aus, br0 zu testen, oder muss ich an einem LAN Interface den dump laufen lassen?

dirkolus

Anmeldungsdatum:
17. Mai 2011

Beiträge: 2178

Wohnort: dahoam

Ich schau mal, wie sich meine Konfiguration von Deiner unterscheidet:

  • in /etc/network/interfaces lasse ich die ifaces lan1 und lan2 automatisch erstellen (kein Eintrag, auch und schon gar nicht mit manual)

  • im br0 kein Eintrag bridge_stp

  • der tcpdump geht auf -i lan1

Dirk

Sessa135

(Themenstarter)

Anmeldungsdatum:
24. Mai 2017

Beiträge: 46

Könntest du mir deine Konfiguration hier einmal posten?

Spanning Tree nehme ich dann mal raus und teste es.

EDIT: ohne stp geht es auch nicht. An den Lan Ports liegt es nicht. Die Brücke funktioniert ja und es geht auch definitiv Traffic drüber, wie gesagt. Nur sehe ich den Traffic auf Schicht2, nicht den auf Schicht3.

Sessa135

(Themenstarter)

Anmeldungsdatum:
24. Mai 2017

Beiträge: 46

Hat noch irgendjemand eine Idee?

dirkolus

Anmeldungsdatum:
17. Mai 2011

Beiträge: 2178

Wohnort: dahoam

Sessa135 schrieb:

Könntest du mir deine Konfiguration hier einmal posten?

auto lo br0

iface lo inet loopback

iface br0 inet static
    address 192.168.xxx.xxx
    netmask 255.255.255.0
    gateway 192.168.xxx.xxx
    bridge_ports eth0 eth1
    bridge_fd 5
    nameserver 192.168.xxx.xxx

in /etc/rc.local der Eintrag, der tcpdump steuert:

1
2
3
4
5
#!/bin/sh
while ( true ); do
        date=`date +%F_%H%M`
        tcpdump -s 0 -A -l -c 10000 -i eth1 host xxx.xxx.xxx.xxx and port 80 > tcpgrep-${date}.txt
done

das ergibt:

pi@mirabelle ~ $ ifconfig -a
br0       Link encap:Ethernet  Hardware Adresse xxxxx  
          inet Adresse:192.168.xxx.xxx  Bcast:192.168.xxx.255  Maske:255.255.255.0
          inet6-Adresse: xxxxx Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:4057503 errors:0 dropped:9901 overruns:0 frame:0
          TX packets:327598 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0 
          RX bytes:525697954 (501.3 MiB)  TX bytes:300388876 (286.4 MiB)

eth0      Link encap:Ethernet  Hardware Adresse xxxxx  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:11853991 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7672438 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:2182125326 (2.0 GiB)  TX bytes:1622670802 (1.5 GiB)

eth1      Link encap:Ethernet  Hardware Adresse xxxxx  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:7344850 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:1177437822 (1.0 GiB)  TX bytes:1756709107 (1.6 GiB)
lo ...

Sessa135

(Themenstarter)

Anmeldungsdatum:
24. Mai 2017

Beiträge: 46

Habe nun mal deine Netzwerkkonfiguration probiert (natürlich angepasst). Mit dieser Konstellation lässt sich "br0" nicht starten, da es br0 als device gar nicht gibt ☺

LAN1 und LAN2 als Interface konnte ich problemlos starten.

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 14382

Sessa135 schrieb:

Mit dieser Konstellation lässt sich "br0" nicht starten, da es br0 als device gar nicht gibt ☺

Wird br0 mit "ip a" oder mit "ifconfig" gezeigt?

Sessa135

(Themenstarter)

Anmeldungsdatum:
24. Mai 2017

Beiträge: 46

Nein, dass Interface wird nicht angezeigt.

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 14382

Sessa135 schrieb:

Nein, dass Interface wird nicht angezeigt.

Hast Du das Interface aber erstellt? ... mit z. B. brctl oder gleichwertig?

Sessa135

(Themenstarter)

Anmeldungsdatum:
24. Mai 2017

Beiträge: 46

Das Problem lag aber auch denke ich viel weniger an meiner vorherigen Netzwerkkonfiguration, da die bridge ja wunderbar funktioniert hat. Es hat ja alles geklappt, nur das ich eben nicht die IP Pakete ablesen konnte.

Sessa135

(Themenstarter)

Anmeldungsdatum:
24. Mai 2017

Beiträge: 46

Hier der Anhang.

Bilder

lubux

Anmeldungsdatum:
21. November 2012

Beiträge: 14382

Sessa135 schrieb:

..., nur das ich eben nicht die IP Pakete ablesen konnte.

Ja, ... und dirkolus sagt, dass man diese IP-Pakete auch mit einer bridge ablesen kann.