Interpr̓©tation du champ MAC= dans les logs de netfilter

3 réponses
Avatar
Zooe
Bonjour,

sur une machine linux, j'utilise netfilter comme firewall. Celui-ci est
configuré pour laisser dans les logs la trace de certains paquets réseau
(par utilisation de "-j LOG" dans la syntaxe de iptables).

Par exemple, on trouve dans les logs la ligne suivante (dont j'ai
anonymisé les données sensibles):

IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:yy:yy:yy:yy:yy:08:00:45:zz:zz:zz:zz:zz:zz:zz SRC=Y.Y.Y.Y DST=X.X.X.X LEND TOS=0x00 PREC=0x00 TTLP IDQ197 PROTO=TCP SPT€36 DPT" WINDOWA465 RES=0x00 SYN URGP=0

Le champ "MAC=" est une succession de chiffres hexadécimaux, mais je ne
trouve aucune information sur l'interprétation de ce champ dans la
documentation de netfilter.

D'après ce qu'on trouve facilement sur le web:

- xx:xx:xx:xx:xx:xx est l'adresse MAC du destinataire,
- yy:yy:yy:yy:yy:yy est l'adresse MAC de la source,
- 08:00 est le type de datagramme (ici, IPv4).

Mais quelle est l'interprétation du reste, "45:zz:zz:zz:zz:zz:zz:zz" ?

Merci par avance pour vos réponses.

3 réponses

Avatar
Marc SCHAEFER
Zooe wrote:
Mais quelle est l'interprétation du reste, "45:zz:zz:zz:zz:zz:zz:zz" ?

Ca ressemble furieusement au début du datagramme IPv4 en hexadécimal.
Avatar
Zooe
Le lundi 03 mai 2021, Marc SCHAEFER a écrit:
Mais quelle est l'interprétation du reste, "45:zz:zz:zz:zz:zz:zz:zz" ?

Ca ressemble furieusement au début du datagramme IPv4 en hexadécimal.

Bingo! ça a tout l'air d'être ça: j'ai vérifié que les champs "LEN=",
"ID=" et "DF" indiqués dans les lignes de log concordent avec les
données en hexadécimal.
Du coup, ces informations sont indiquées de façon redondante.
C'est assez trompeur de regrouper ces informations sous le nom "MAC", je
me demande quelle est la logique.
Avatar
Marc SCHAEFER
Zooe wrote:
C'est assez trompeur de regrouper ces informations sous le nom "MAC", je
me demande quelle est la logique.

A voir c'est un dump du début d'une trame Ethernet (MAC):
DA | SA | TYPE | entête IP