Re:미러링을 이용한 샤크라 구성에 대해서...
안녕하세요. 웨어밸리입니다. 어디까지나 경험적인 얘기입니다만, tcpdump에서 패킷을 잡기는 하되 출력하지 못하는 경우가 간혹 있습니다. 방문하지 않고서는 정확한 문제를 찾기 어려우니 host로 필터링을 하지 마시고, 전체 감시로 해서 해당 ip가 있는지 검사해 보시는 것이 좋을 것 같습니다. 전체 감시로 할 경우, -s 0 와 X 옵션을 주면 패킷이 모두 출력되므로 tcpdump -i eth0 만 주고 캡쳐해 보시면, 캡쳐된 패킷의 IP와 포트만 출력되므로 해당 ip가 있는 없는지 구별이 가능합니다. 아니면 직접 환경을 변경하셔서 샤크라를 다시 기동해 보십시오. cgw.conf를 열어서, [Network] 탭으로 가셔서 기존에 탭으로 설정되어 있던 부분을 삭제하고, 아래처럼 수정해 주십시오. device1 = ETHERNET eth0 inout - device2 = ETHERNET eth1 inout - 그리고, 샤크라를 재기동해 보시면 세션 검출 여부를 아실수 있습니다. 더 자세한 지원이 필요하시면 회사로 연락 주십시오. 감사합니다.

---------- Original Message ----------
이름 : 정재철 제목 : 미러링을 이용한 샤크라 구성에 대해서... 전에 받은 질문에 답해 주셔서 감사합니다. 담당자에게 알려드렸는데,아직 답변이 없네요. tcpdump에 대한 질문을 하려고 합니다. 샤크라가 "tcpdump -s 0 -X -i eth0 host x.x.x.x"에 대해서 출력되는 x.x.x.x 서버를 감시하는 것 같습니다. 기 설치된 샤크라에 여러가지 NIC가 있는데 eth0,eth1은 DB감시용(미러링으로 구성) eth2는 통신용으로 구성하였습니다. 3가지 NIC에 각각 "tcpdump" 만 명령어를 사용하면 모든 패킷을 볼수 있는데, 옵션을 사용할 경우(예, tcpdump -i eth0 host x.x.x.x)를 하면 "tcpdump"에서 보이던 Host 주소가 옵션을 사용하게 되면 출력이 되지 않습니다. 특이하게도, eth2(통신용)는 옵션을 사용하면 정상적으로 출력이 됩니다. eth0,eth1에 대한 ip 주소가 임의대로 설정된 상태인데, 미러링으로 받는다면 이 IP는 필요가 없을 것습니다. 미러링을 통해서 나오는 패킷을 tcpdump 옵션에 대한 출력이 없는 것이 정상적인지, 아니면, 또 다른 설정이 필요한지 알고 싶습니다.