У домашній мережі (192.168.1.0/24) я намагаюся використовувати iptables мовчки клонувати весь трафік wifi TCP / UDP в / з мого Xbox One до мого робочого столу Windows 10, для перехоплення пакетів через Wireshark.
Через обмеження локалізації, що обмежують підключення до Ethernet, я намагаюся зробити це через дві точки бездротового доступу, які спільно використовують одну мережу, а їхні порти LAN є єдиним з'єднанням Ethernet у налаштуванні:
|<--[Ethernet To Cable Modem]
| \ \ \
| \ \ \
| \ \ \
| _________________________ \ \ \
└--| NETGEAR R6260 | | | |
| SSID: TheNewNetwork(5G) | | | |
| stock firmware, gateway | | | |
┌--|_192.168.1.1_____________| | | |
| ________________________ / / /
| ╙|_ PRINTER 192.168.1.14__|/ / /
| ________________________/ / /
| ╙|_ AMAZON 192.168.1.15__/| / /
| ______________________/_ / /
| ╙|_ AMAZON 192.168.1.16___| /
| _____________________________
| ╙|_ DESKTOPWIN10 192.168.1.10__|
| __________________________
| ╙|_ Nexus-5X 192.168.1.13___|
| ___________________________
| ╙|_ GALAXY-S8 192.168.1.17___|
|
|
| \ \ \
| \ \ \
| _______________________ \ \ \
└--| LINKSYS E2500 | | | |
| SSID: TheOtherNetwork | | | |
| Tomato w/ iptables | | | |
|_192.168.1.2___________| | | |
________________________/ / /
╙|_ XBOXONE 192.168.1.12_/_|/ /
/ / /
Linksys E2500 спалахнув Tomato V1.28 (build 140) і працює iptables рамки. DHCP і NAT вимкнено. Xbox підключено до незабезпеченої точки бездротового доступу (SSID: Інша мережа ).
Все інше на бездротовому захищеному WPA2 (SSID: TheNewNetwork ), за звичайну. IP-адреса Linksys ( 192.168.1.2 ) є статичним, а Windows ( 192.168.1.10 ) і Xbox ( 192.168.1.12 ) IP-адреси призначаються за допомогою резервування DHCP на Netgear, який також призначає незарезервовані адреси DHCP усім іншим (принтер, телевізори Amazon Fire [x2], смартфони) і обробляє NAT для трафіку, прив'язаного до глобальної мережі. Таке розташування мережі, здається, працює бездоганно для всіх «нормальних» випадків використання.
Спочатку, я думав, що я можу просто кинути в деякі клонування пакетів iptables правила на Linksys, які відповідають IP-адресі Xbox, наприклад:
iptables -A PREROUTING -t mangle -s 192.168.1.12 -j ROUTE --gw 192.168.1.10 --tee
iptables -A PREROUTING -t mangle -d 192.168.1.12 -j ROUTE --gw 192.168.1.10 --tee
... але я знайшов дуже мало пакетів Xbox у моєму подачі Wireshark, і я вирішив заглибитися, якщо правила (які мали на меті приховати весь Xbox-трафік) були навіть запущені / збігалися (оскільки це має відбутися до ROUTE цільової навіть вступає в гру, щоб отримати пакети для Windows / Wireshark).
Таким чином, щоб отримати повний знімок, що спрацьовує за допомогою пакетів, я встановлюю правила, що ініціюються аналогічно для кожної IP-адреси в мережі, з простим -j ACCEPT мішені, і з "ловити всіх" правило в кінці ланцюга, який повинен ініціювати незалежно від того, що. Потім я запустив Xbox і грав хвилину або близько того онлайн шутер від першої особи (який працював нормально, наскільки я міг сказати з Xbox).
Через хвилину, це те, що я отримав від iptables резюме списку правил:
root@E2500-Host:/# iptables -t mangle -vnL PREROUTING
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
1 68 ACCEPT all - * * 192.168.1.12 0.0.0.0/0
0 0 ACCEPT all - * * 0.0.0.0/0 192.168.1.12
408 60499 ACCEPT all - * * 192.168.1.10 0.0.0.0/0
0 0 ACCEPT all - * * 0.0.0.0/0 192.168.1.10
0 0 ACCEPT all - * * 192.168.1.1 0.0.0.0/0
0 0 ACCEPT all - * * 0.0.0.0/0 192.168.1.1
0 0 ACCEPT all - * * 192.168.1.13 0.0.0.0/0
0 0 ACCEPT all - * * 0.0.0.0/0 192.168.1.13
1 351 ACCEPT all - * * 192.168.1.14 0.0.0.0/0
0 0 ACCEPT all - * * 0.0.0.0/0 192.168.1.14
0 0 ACCEPT all - * * 192.168.1.15 0.0.0.0/0
0 0 ACCEPT all - * * 0.0.0.0/0 192.168.1.15
0 0 ACCEPT all - * * 192.168.1.16 0.0.0.0/0
0 0 ACCEPT all - * * 0.0.0.0/0 192.168.1.16
1 344 ACCEPT all - * * 0.0.0.0/0 0.0.0.0/0
ЩО?!? Один жалюгідний пакет з Xbox? Я грала в онлайн шутер від першої особи на міцну хвилину, де десятки реальних позицій суперника оновлювалися з сервера багато разів на секунду. (Я читав достатньо на цій конкретній грі, щоб очікувати UDP для цього обміну.) Там ПОВИННО БУТИ більше трафіку, ніж між ними 192.168.1.12 і зовнішній світ, і це ПОВИННО БУТИ отримує обробляється маршрутизатор Linksys, який працює iptables, оскільки Xbox підключений до Інтернету лише через незахищену точку доступу Linksys, Інша мережа .
Як зауваження, пов'язане з можливістю взаємодії: Інші незвичайні риси включають 0 запущених пакетів для будь-якого вхідного трафіку до будь-якого локального IP (хоча, можливо, не є несподіваним для не-Xbox пристроїв в іншій точці доступу), і той факт, що він вивів багато вихідних пакетів з робочого столу Windows, 192.168.1.10 (Що знову ж таки, не на SSID Linksys, так що я, можливо, не очікував Linksys, щоб побачити ці).
Як це можливо iptables не вистачає пакетів Xbox, які дозволяли швидко розвиватися онлайн-грі?