R表示收到,X表示发出,R@eth1是从eth1口收到数据包。X@eth2是从2口发出数据包
16.1.1.1>18.1.1.2 表示IP 16.1.1.1发给IP 18.1.1.2
Seq后面的数是序列号 request和reply的号一致就是一个数据包
Length后面的数是字节
没有做任何策略,直连抓包(ICMP的数据包)
抓包过程详解:
防火墙eth1口收到16.1.1.1发给18.1.1.2的request数据包
接着从eth2口这个request数据包转发出去
然后防火墙eth2口收到18.1.1.2发给16.1.1.1的reply数据包
防火墙再从eth1口转发这个reply给16.1.1.1
抓取80端口的包
首先建立三次握手syn syn+ack ack(三次握手这三个数据包一定要有。没有那这个连接就有问题,排查问题主要看三次握手)
如果数据包经过源地址转换,抓包命令需要输入目的地址。简单来讲就是抓目的地址的数据包
抓包过程详解:
从eth1收到16.1.1.1发给18.1.1.2的request包
再从eth2将这个request包以18.1.1.1的地址发给18.1.1.2(源地址16.1.1.1.转换为了18.1.1.1)
从eth2收到18.1.1.2回复给18.1.1.1的reply数据包
再从eth1将reply发给16.1.1.1
目的地址转换----抓真实的源地址和端口80的包(18.1.1.2是真实的源)
1.如果内网有多台服务器但是只有一个外网接口的时候都要映射80端口就要在服务里面自定义端口(自定义的端口在1024以上都可以名称和端口号可以一致)目的地址转换里的“目的端口转换为”要是真实的端口80
2.在目的地址转换里服务有自定义的端口情况下要单抓源ip就是完整的包,
图例:只抓的源ip 18.1.1.2 (18.1.1.2访问防火墙接口18.1.1.1的80服务,防火墙转到16.1.1.1)
抓包过程详解:
从eth2收到18.1.1.2发给18.1.1.1:80的数据包(syn)
再从eth1将这个数据包(syn)发出去,目的地址转换为16.1.1.1:80
从eth1收到16.1.1.1的回包(syn +ack),
再从eth2将这个数据包(syn+ack)发出去
然后从eth2收到18.1.1.2发给18.1.1.1:80的数据包(ack)
再从eth1将这个ack数据包发给16.1.1.1:80
双向地址转换,需要开启两个窗口同时进行抓包
抓包要抓真实的源地址和最终目的地址(案例所抓为真实源地址18.1.1.2和80端口的数据包)(需求18.1.1.2访问防火墙18.1.1.1的80端口,源地址转换为16.1.2.3,目的地址转换为16.1.2.4,目的端口不变)
一<初始源地址18.1.1.2
以下为抓取最终目的地址和80端口数据包
(最终目的地址16.1.2.4)
抓包过程详解:
先看第一个图,从eth2接口收到18.1.1.2访问18.1.1.1:80的数据包(syn)
再看第二个图,从eth3接口将这个数据包进行地址转换发出去,源变成16.1.2.3,目的变成16.1.2.4 (syn)
再看第二个图,从eth3接口收到16.1.2.4的回给16.1.2.3的数据包(syn+ack)
再看第一个图,从eth2接口以18.1.1.1回给18.1.1.2(syn+ack)
再看第一个图,从eth2接口收到18.1.1.2发给18.1.1.1的ack包
再看第二个图,从eth3接口将这个数据包进行地址转换发出去,源变成16.1.2.3,目的变成16.1.2.4 (ack)
先从物理接口eth1收到数据包,再从ipsec口发出数据包。接着从ipsec口收到回包,然后再从物理口eth1将回包发出去,这是一个完整的ping包经过ipsec的过程。
Ipsec抓包(点到点单线路2个保护子网)
