Interpr̓©tation du champ MAC= dans les logs de netfilter

Le
Zooe
Bonjour,

sur une machine linux, j'utilise netfilter comme firewall. Celui-ci est
configuré pour laisser dans les logs la trace de certains paquets réseau
(par utilisation de "-j LOG" dans la syntaxe de iptables).

Par exemple, on trouve dans les logs la ligne suivante (dont j'ai
anonymisé les données sensibles):

IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:yy:yy:yy:yy:yy:08:00:45:zz:zz:zz:zz:zz:zz:zz SRC=Y.Y.Y.Y DST=X.X.X.X LEND TOS=0x00 PREC=0x00 TTLP IDQ197 PROTO=TCP SPT€36 DPT" WINDOWA465 RES=0x00 SYN URGP=0

Le champ "MAC=" est une succession de chiffres hexadécimaux, mais je ne
trouve aucune information sur l'interprétation de ce champ dans la
documentation de netfilter.

D'après ce qu'on trouve facilement sur le web:

- xx:xx:xx:xx:xx:xx est l'adresse MAC du destinataire,
- yy:yy:yy:yy:yy:yy est l'adresse MAC de la source,
- 08:00 est le type de datagramme (ici, IPv4).

Mais quelle est l'interprétation du reste, "45:zz:zz:zz:zz:zz:zz:zz" ?

Merci par avance pour vos réponses.
  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
Marc SCHAEFER
Le #26572903
Zooe
Mais quelle est l'interprétation du reste, "45:zz:zz:zz:zz:zz:zz:zz" ?

Ca ressemble furieusement au début du datagramme IPv4 en hexadécimal.
Zooe
Le #26572907
Le lundi 03 mai 2021, Marc SCHAEFER a écrit:
Mais quelle est l'interprétation du reste, "45:zz:zz:zz:zz:zz:zz:zz" ?

Ca ressemble furieusement au début du datagramme IPv4 en hexadécimal.

Bingo! ça a tout l'air d'être ça: j'ai vérifié que les champs "LEN=",
"ID=" et "DF" indiqués dans les lignes de log concordent avec les
données en hexadécimal.
Du coup, ces informations sont indiquées de façon redondante.
C'est assez trompeur de regrouper ces informations sous le nom "MAC", je
me demande quelle est la logique.
Marc SCHAEFER
Le #26572909
Zooe
C'est assez trompeur de regrouper ces informations sous le nom "MAC", je
me demande quelle est la logique.

A voir c'est un dump du début d'une trame Ethernet (MAC):
DA | SA | TYPE | entête IP
Poster une réponse
Anonyme