Перехват трафика на Mikrotik

В Микротиках есть штатный инструмент для дублирования трафика в WireShark — достаточно создать правило в цепочке Mangle, указать ip хоста, на котором запущен анализатор траффика, и порт, который слушает WireShark — Микротик будет дублировать весь проходящий через него трафик указанному хосту.

1. Заходим в IP — Firefall — Mangle и создаём новое правило. На вкладке General устанавливаем Chain — prerouting:

На вкладке Action ставим sniff TZSP. В качестве Sniff Target указываем ip хоста, на котором будем анализировать трафик, а Sniff Target Port37008.

То же самое можно сделать одной командой в терминале:

 
[admin@Mikrotik] /ip firewall mangle add action=sniff-tzsp chain=prerouting sniff-target=192.168.88.10 sniff-target-port=37008

2. На хосте запускаем WireShark. Указываем фильтр udp port 37008 и выбираем интерфейс, на котором висит ip, указанный в качестве Sniff Target.

Запускаем захват пакетов.

3 комментария

  1. Добрый день,
    а как мы можем подменить исходящий порт 37008? В моём случае между локальной сетью Микротика и моей рабочей станцией есть файрвол, через который уходящие с микротика пакеты не проходят. Его настройки нет возможности изменить.
    Я так понимаю, мы должны использовать src-nat и подмену порта на разрешённый? Добавил правило, но где-то ошибся, видимо.

    add action=src-nat chain=srcnat dst-port=37008 out-interface=ether1 protocol=\
    udp to-addresses=192.168.10.141 to-ports=443

    1. Кирилл, 37008 — стандартный порт, на котором генерируется tzsp-трафик.
      Для ответа на вопрос — нужно понимать, как фаерволл, который между локальной сетью и рабочей станцией, обрабатывает трафик, поступающий на 443 порт.

      Как вариант — поднять vpn наружу с микротика и с рабочей станции, зеркалить трафик через vpn-сервер.

  2. Здравствуйте. Подскажите, а как просто дублировать пакеты ещё на один ай-пи адрес? Есть контроллер диспетчеризации с адресом 192.168.1.111, он отправляет пакеты (Порт 2553) на какой-то внешний адрес. В микротик все TCP пакеты от этого адреса мы перенаправляем на адрес ПК 192.168.43.41, на котором установлено ПО, которое принимает эти пакеты. Задача дублировать эти пакеты с адреса контроллера 192.168.1.111 на второй ПК с адресом 192.168.43.8 на котором тоже установлено ПО. ПО просто принимает входящие пакеты на порт 2553 и «рисует» состояние оборудования. Как описано в статье, я попробовал ПО на втором ПК не видит пакетов.

Оставить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *