Недавно меня назначили ответственным за кластер высокопроизводительных вычислений, а последний администратор не очень хорошо документировал все. Мы получили уведомление от нашей группы ИТ-безопасности о том, что наш головной узел довольно регулярно обращается к отрывочному сайту с бесплатными программами, и мы должны это проверить. Наш головной узел - это NAT для остальной части кластера, поэтому я предполагаю, что трафик на самом деле исходит не от головного узла, а с какой-то другой машины, которая общается через наш головной узел. Я запустил tcpdump -vvvv -A ' host [headnode ext IP] 'на нашем головном узле на некоторое время, чтобы перехватить пакеты, идущие на сайт бесплатного программного обеспечения и с него, но это не говорит мне, какая машина на самом деле делает эти запросы. Может ли кто-нибудь дать мне команду для запуска (или, вероятно, флаг tcpdump, который мне не хватает), который скажет мне фактический хост, который отправляет запросы на этот сайт?
Я предполагаю, что у вас есть внешний интерфейс (возможно, eth0
), который выполняет NAT для машин на вашем внутреннем интерфейсе (возможно, eth1
с RFC1918 подсеть). Я бы попробовал установить ограничение на eth1
, чтобы узнать, какой внутренний IP-адрес обращается к 104.25.236.8. например: tcpdump -i eth1 -vvvv -A src 104.25.236.8 или dst 104.25.236.8