R表示收到,X表示发出,R@eth1是从eth1口收到数据包。X@eth2是从2口发出数据包 16.1.1.1>18.1.1.2 表示IP 16.1.1.1发给IP 18.1.1.2 Seq后面的数是序列号 request和reply的号一致就是一个数据包 Length后面的数是字节 没有做任何策略,直连抓包(ICMP的数据包) 抓包过程详解: 防火墙eth1口收到16.1.1.1发给18.1.1.2的request数据包 接着从eth2口这个request数据包转发出去 然后防火墙eth2口收到18.1.1.2发给16.1.1.1的reply数据包 防火墙再从eth1口转发这个reply给16.1.1.1 抓取80端口的包 首先建立三次握手syn syn+ack ack(三次握手这三个数据包一定要有。没有那这个连接就有问题,排查问题主要看三次握手) 如果数据包经过源地址转换,抓包命令需要输入目的地址。简单来讲就是抓目的地址的数据包 抓包过程详解: 从eth1收到16.1.1.1发给18.1.1.2的request包 再从eth2将这个request包以18.1.1.1的地址发给18.1.1.2(源地址16.1.1.1.转换为了18.1.1.1) 从eth2收到18.1.1.2回复给18.1.1.1的reply数据包 再从eth1将reply发给16.1.1.1
目的地址转换----抓真实的源地址和端口80的包(18.1.1.2是真实的源) 1.如果内网有多台服务器但是只有一个外网接口的时候都要映射80端口就要在服务里面自定义端口(自定义的端口在1024以上都可以名称和端口号可以一致)目的地址转换里的“目的端口转换为”要是真实的端口80 2.在目的地址转换里服务有自定义的端口情况下要单抓源ip就是完整的包, 图例:只抓的源ip 18.1.1.2 (18.1.1.2访问防火墙接口18.1.1.1的80服务,防火墙转到16.1.1.1) 抓包过程详解: 从eth2收到18.1.1.2发给18.1.1.1:80的数据包(syn) 再从eth1将这个数据包(syn)发出去,目的地址转换为16.1.1.1:80 从eth1收到16.1.1.1的回包(syn +ack), 再从eth2将这个数据包(syn+ack)发出去 然后从eth2收到18.1.1.2发给18.1.1.1:80的数据包(ack) 再从eth1将这个ack数据包发给16.1.1.1:80
双向地址转换,需要开启两个窗口同时进行抓包 抓包要抓真实的源地址和最终目的地址(案例所抓为真实源地址18.1.1.2和80端口的数据包)(需求18.1.1.2访问防火墙18.1.1.1的80端口,源地址转换为16.1.2.3,目的地址转换为16.1.2.4,目的端口不变) 一<初始源地址18.1.1.2 以下为抓取最终目的地址和80端口数据包 (最终目的地址16.1.2.4) 抓包过程详解: 先看第一个图,从eth2接口收到18.1.1.2访问18.1.1.1:80的数据包(syn) 再看第二个图,从eth3接口将这个数据包进行地址转换发出去,源变成16.1.2.3,目的变成16.1.2.4 (syn) 再看第二个图,从eth3接口收到16.1.2.4的回给16.1.2.3的数据包(syn+ack) 再看第一个图,从eth2接口以18.1.1.1回给18.1.1.2(syn+ack) 再看第一个图,从eth2接口收到18.1.1.2发给18.1.1.1的ack包 再看第二个图,从eth3接口将这个数据包进行地址转换发出去,源变成16.1.2.3,目的变成16.1.2.4 (ack)
先从物理接口eth1收到数据包,再从ipsec口发出数据包。接着从ipsec口收到回包,然后再从物理口eth1将回包发出去,这是一个完整的ping包经过ipsec的过程。 Ipsec抓包(点到点单线路2个保护子网)