iptables дублирует трафик на другой ip

исправление маршрута-это исправление ядра, которое необходимо применить к исходному коду ядра Linux для iptables для работы: вы можете найти здесь вся соответствующая информация. Тем не менее, патчи, описанные на этой веб-странице, довольно старые (2005), и я не уверен, что они работают должным образом на новых версиях ядра.

вместо этого новые расширения iptables детализированы здесь, и эти do работа. В частности, отмечается, что:

iptables может использовать расширенные целевые модули: следующие модули включены в стандартный дистрибутив.

и, таким образом, они должны быть доступны любому пользователю со стандартным выпуском Linux. Одним из целевых расширений является TEE, для которого они заявляют:

TEE

цель TEE клонирует пакет и перенаправляет этот клон на другую машину на local сегмент сети. Другими словами, nexthop должен быть целью, или вам придется настроить nexthop, чтобы переслать его дальше, если это необходимо.

--шлюза IP-адреса

отправить клонированный пакет на хост, доступный по указанному IP-адресу. Использование 0.0.0.0 (для пакетов IPv4) или:: (IPv6) недопустимо.

перенаправить весь входящий трафик на eth0 в окно журнала сетевого уровня:

-Т мангл-это следующее -Я как eth0 -J в тройник --шлюз 2001:db8::1

имя TEE явно предназначено для напоминания одной из стандартных команд tee, которая считывает из стандартного ввода и клонирует вывод (который просто идет в стандартный вывод) в указанный пользователем файл. То же самое и с пакетами: пакеты, к которым применяется правило, дублируются, один отправляется по назначению, а новый отчеканенный клон отправляется шпионской цели.

таким образом, клонировать весь входящий и исходящий трафик для pc 192.168.1.15 на вашем роутере (скажем, 192.168.1.1). и перенаправить на шпионский ПК 192.168.1.100, использовать:

 iptables -t mangle -A PREROUTING -d 192.168.1.15 -j TEE --gateway 192.168.1.100
 iptables -t mangle -A PREROUTING -s 192.168.1.15 -j TEE --gateway 192.168.1.100