» зеркалирование трафика iptables

Нужна подсказка

Хочу зеркалировать/дублировать трафик на локальную машину (172.16.1.23), который приходящий на сервер (172.16.1.5), на порт 20001.

вот правило

Код:
sudo iptables -t mangle -A PREROUTING -p tcp --dport 20001 -i eth0 -j TEE --gateway 172.16.1.23

yfvznjd
Убедительная просьба не плодить новых тем без повода.
По iptables есть отдельная тема.

Ваше правило выглядит правильно.
А как Вы реили что пакеты не зеркалируются? На сколько я знаю пакет приходит в неизменном виде, т.е. у него адрес назначения как был 172.16.1.5 так таковым и останется и что бы пакет дошёл до Вашего ПО сетевой интерфейс должен работать в promiscouos режиме.

Цитата:

На сколько я знаю пакет приходит в неизменном виде, т.е. у него адрес назначения как был 172.16.1.5 так таковым и останется

да вы правы, я посмотрел на локальной машине трафик Wireshark-ом, правило действительно правильное и трафик зеркалируется.

И теперь возник новый вопрос, можно ли при помощи iptables подменить ip назначения, т.е. вместо 172.16.1.5 подставить 172.16.1.23?

если нет то чем можно это сделать?

yfvznjd
Что-то не соображу такой возможности подходящей к Вашей ситуации...

а DNAT не подойдет?

Добавлено:
а что если так поступить
с начало пакет зеркалируем в mangle PREROUTING, а патом в nat POSTROUTING подменяем источник назначения DNAT-ом?

только вот правило подмены не могу соченить

Добавлено:
все понял
Идея дублирования пакетов и подмены адреса назначения, тупая и не реализуемая. (возможно такое получиться с UDP, но точно не с TCP)