Перехват трафика на Mikrotik

В Микротиках есть штатный инструмент для дублирования трафика в WireShark — достаточно создать правило в цепочке Mangle, указать ip хоста, на котором запущен анализатор траффика, и порт, который слушает WireShark — Микротик будет дублировать весь проходящий через него трафик указанному хосту.

1. Заходим в IP — Firefall — Mangle и создаём новое правило. На вкладке General устанавливаем Chain — prerouting:

На вкладке Action ставим sniff TZSP. В качестве Sniff Target указываем ip хоста, на котором будем анализировать трафик, а Sniff Target Port37008.

То же самое можно сделать одной командой в терминале:

 
[admin@Mikrotik] /ip firewall mangle add action=sniff-tzsp chain=prerouting sniff-target=192.168.88.10 sniff-target-port=37008

2. На хосте запускаем WireShark. Указываем фильтр udp port 37008 и выбираем интерфейс, на котором висит ip, указанный в качестве Sniff Target.

Запускаем захват пакетов.

2 комментария

  1. Добрый день,
    а как мы можем подменить исходящий порт 37008? В моём случае между локальной сетью Микротика и моей рабочей станцией есть файрвол, через который уходящие с микротика пакеты не проходят. Его настройки нет возможности изменить.
    Я так понимаю, мы должны использовать src-nat и подмену порта на разрешённый? Добавил правило, но где-то ошибся, видимо.

    add action=src-nat chain=srcnat dst-port=37008 out-interface=ether1 protocol=\
    udp to-addresses=192.168.10.141 to-ports=443

    1. Кирилл, 37008 — стандартный порт, на котором генерируется tzsp-трафик.
      Для ответа на вопрос — нужно понимать, как фаерволл, который между локальной сетью и рабочей станцией, обрабатывает трафик, поступающий на 443 порт.

      Как вариант — поднять vpn наружу с микротика и с рабочей станции, зеркалить трафик через vpn-сервер.

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *