← retour aux snippets

iptables TEE: dupliquer le trafic vers un analyseur

Copier des paquets vers une autre IP pour inspection (SPAN pauvre).

bash network #iptables#tee#mirror

objectif

Observer un trafic en production sans insérer un sniffer inline.

code minimal

sudo modprobe xt_TEE
sudo iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 443 -j TEE --gateway 192.0.2.50

utilisation

# vérifier que l'hôte 192.0.2.50 reçoit bien les copies
sudo tcpdump -i any host 192.0.2.50

variante(s) utile(s)

# miroir sortant
sudo iptables -t mangle -A POSTROUTING -o eth0 -p tcp --sport 443 -j TEE --gateway 192.0.2.50

notes

  • la copie est routée normalement vers la gateway donnée.
  • attention à la charge et à la confidentialité.