tcpdump -i lo0 тишина

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
ban
мл. сержант
Сообщения: 145
Зарегистрирован: 2009-07-22 22:36:29
Откуда: г.Волжский Волг. обл.

tcpdump -i lo0 тишина

Непрочитанное сообщение ban » 2010-03-11 12:14:57

стоит перенаправление пакетов:

Код: Выделить всё

rdr on $int_if inet proto {tcp,udp} from any to any port {http,https} -> lo0 port 3128
делаю:

Код: Выделить всё

tcpdump -i lo0
и tcpdump ничегошеньки не кажит (ну, пара пакетов не в счет), хотя пакетов там море проходит грантированно, т.к. странички у меня грузятся

пробовал отрубать и включать опцию set skip on lo0 - не влияет...

почему не могу посмотреть что происходит на интерфейсе lo0 (127.0.0.1) ?
кто никуда не торопится, тот везде успевает

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

расстроенный
проходил мимо

Re: tcpdump -i lo0 тишина

Непрочитанное сообщение расстроенный » 2010-03-11 14:50:14

и че, опять что ли никто не знает?

вообще tcpdump может что нить поймать на Loopback интерфейсе?

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: tcpdump -i lo0 тишина

Непрочитанное сообщение hizel » 2010-03-11 14:53:12

незнаю что там делает pf, а tcpdump отлично все кажет на lo0
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

_FreeBSD
проходил мимо

Re: tcpdump -i lo0 тишина

Непрочитанное сообщение _FreeBSD » 2010-03-11 14:58:29

покажи как у себя tcpdump запускаешь для lo0

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: tcpdump -i lo0 тишина

Непрочитанное сообщение hizel » 2010-03-11 15:08:01

что показать? tcpdump -i lo0 -np, так и запускаю
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

_Гагарин
проходил мимо

Re: tcpdump -i lo0 тишина

Непрочитанное сообщение _Гагарин » 2010-03-11 15:13:29

мда... у меня ничего не кажит.................. отстойнО

Gerk
сержант
Сообщения: 194
Зарегистрирован: 2009-09-23 23:01:37
Откуда: Симферополь, UA

Re: tcpdump -i lo0 тишина

Непрочитанное сообщение Gerk » 2010-03-11 20:39:13

ping 127.0.0.1 поставь и посмотри ловит tcpdump или не ловит ....

_9 мая
проходил мимо

Re: tcpdump -i lo0 тишина

Непрочитанное сообщение _9 мая » 2010-03-11 20:43:48

ловит
че мне с него толку-то
другие пакеты не ловит

Гость
проходил мимо

Re: tcpdump -i lo0 тишина

Непрочитанное сообщение Гость » 2010-03-11 20:47:14

_9 мая писал(а):ловит
че мне с него толку-то
другие пакеты не ловит
детский сад, а что он должен еще ловить на лупбеке?

_Сатана
проходил мимо

Re: tcpdump -i lo0 тишина

Непрочитанное сообщение _Сатана » 2010-03-11 21:44:39

хочу видеть все пакеты, направленные в его сторону

Гость
проходил мимо

Re: tcpdump -i lo0 тишина

Непрочитанное сообщение Гость » 2010-03-11 22:00:36

а вы уверены что страницы грузяться и прочее у вас именно из-за того что rdr работает?
sockstat -4 для начала и смотрите дествительно ли бинд на 127/ у вас есть
потому как rdr работает не так как вам хочеться/думаеться

сделайте с локальной машины telnet 127.0.0.1 3128 и смотри в tcpdump, есть лог? тогда разбирайся в основах PF'a
и не флуди

_Гагарин
проходил мимо

Re: tcpdump -i lo0 тишина

Непрочитанное сообщение _Гагарин » 2010-03-11 22:27:02

Гость писал(а):а вы уверены что страницы грузяться и прочее у вас именно из-за того что rdr работает?
мы уверены, потому что если отфигачить сквид, на который все направлено, и который слушает 127.0.0.1:3128, то нихренашеньки не грузится HTTP, а значит именно из-за rdr все и работает
Гость писал(а):sockstat -4 для начала и смотрите дествительно ли бинд на 127/ у вас есть
потому как rdr работает не так как вам хочеться/думаеться
енто че за бредд питт? причем тут бинд, уважаемый коллега анонимус?
Гость писал(а):сделайте с локальной машины telnet 127.0.0.1 3128 и смотри в tcpdump, есть лог? тогда разбирайся в основах PF'a
и не флуди
я не флужу, идея изначальная была - понять
вон у дяди hizelя пашет ведь, а чем я хуже? или лучше?

Гость
проходил мимо

Re: tcpdump -i lo0 тишина

Непрочитанное сообщение Гость » 2010-03-11 22:32:14

уважаемый Гагарин, побольше дела и по меньше слов

ps
насчет бинда я имел ввиду man bind

_FreeBSD
проходил мимо

Re: tcpdump -i lo0 тишина

Непрочитанное сообщение _FreeBSD » 2010-03-12 9:22:53

какая-то хренота.
чe-то с утра пришел правила комментировал-комментировал в PF'e
бац, начало видать разрешения имен через lo0...
причем в правилах свиду все как и было

когда комменчу antispoofing правила, то появляются еще по HTTP порту пакеты RST:

Код: Выделить всё

tcpdump -i lo0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo0, link-type NULL (BSD loopback), capture size 96 bytes

09:13:53.428609 IP localhost.61927 > localhost.domain: 38718+ A? www.freebsd.org. (33)
09:13:53.429387 IP localhost.domain > localhost.61927: 38718 1/3/5 A www.freebsd.org (241)
09:13:53.560707 IP localhost.56840 > localhost.domain: 41943+ PTR? 33.83.147.69.in-addr.arpa. (43)
09:13:53.906441 IP localhost.domain > localhost.56840: 41943 1/5/4 PTR[|domain]
09:14:04.005747 IP INTERNET.firma.local.1595 > localhost.3128: R 520238048:520238048(0) ack 2347644372 win 0
09:14:04.904858 IP localhost.60986 > localhost.domain: 41944+ PTR? 20.16.16.172.in-addr.arpa. (43)
09:14:04.905467 IP localhost.domain > localhost.60986: 41944* 1/1/1 PTR[|domain]
а вот SIN, PSH ничего не видно на lo0
получается либо Squid их перехватывает до tcpdump - это как?
либо tcpdump че-то неулавливает
либо PF че-то делает, хотя че он может делать я не понимаю, нахрена ему это и как вообще он делает так, что до сквида доходят пакеты, а tcpdump не видит их...

все чай, срочно чай.