Packetdumper der NAT-Pakete "auflöst"

12/09/2014 - 21:05 von Ralph Aichinger | Report spam
Gegeben sei ein Host mit einem internen und externen Interface,
der per NAT die am internen Interface angehàngten Hosts im
LAN anbindet.

Gibt es eine Möglichkeit alle Packets am externen Interface dumpen zu
lassen, in einer Form daß bei auf diesem Host genateten Pakete nicht
als lokale Pakete sondern mit ihrer "eigentliche" Quelle im LAN
angezeigt werden?

/ralph
 

Lesen sie die antworten

#1 Juergen P. Meier
13/09/2014 - 10:18 | Warnen spam
Ralph Aichinger :
Gegeben sei ein Host mit einem internen und externen Interface,
der per NAT die am internen Interface angehàngten Hosts im
LAN anbindet.

Gibt es eine Möglichkeit alle Packets am externen Interface dumpen zu
lassen, in einer Form daß bei auf diesem Host genateten Pakete nicht
als lokale Pakete sondern mit ihrer "eigentliche" Quelle im LAN
angezeigt werden?



Wenn das NAT-GEraet eine Check Point ist, dann geht das mit fwmonitor.

Bei einem Linux/Netfilter geht das nicht so einfach - denn die
NAT-Zuordnung kennt nur der Kernel, und es gibt keine Schnittstelle
dafuer das automatisch in einem Capture einzubetten. Tcpdump auf dem
internen Interface sieht nur die internen IP-Adressen, tcpdump auf dem
externen nur die genatteten.

Du koenntest beides mitschneiden und Pakete dann anhand ihrer IDs
zueinander zuordnen, aber da gibts nix in fertig und automatisch AFAIK.

Auf dem externen Interface alleine kannst du erstmal nicht zwischen
genatteten Paketen interner Hosts und Paketen des lokalen Gateawys
selbst unterscheiden, zumindest nicht in einem tcp-dump.

Juergen
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Ähnliche fragen