Я установил мост и хотел бы перенаправить HTTP / HTTPS-трафик, проходящий через него, на локальный порт (8080), чтобы я мог в дальнейшем обрабатывать его с помощью mitmproxy.
До сих пор я использовал комбинация ebtables и iptables правила. К сожалению, мне пришлось узнать, что eatables больше не поддерживает таблицу 'broute' и что я должен использовать вместо нее nftables .
Используемое программное обеспечение:
Как я создал мост:
root@kali:~# ip link add name br0 type bridge
root@kali:~# ip link set dev br0 up
root@kali:~# ip link set dev eth0 master br0
root@kali:~# ip link set dev eth2 master br0
Мои интерфейсы:
root@kali:~# ifconfig eth0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.178.67 netmask 255.255.255.0 broadcast 192.168.178.255
ether 00:01:c0:1b:4b:31 txqueuelen 1000 (Ethernet)
root@kali:~# ifconfig eth2
eth2: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
ether 00:01:c0:1b:4b:b2 txqueuelen 1000 (Ethernet)
root@kali:~# ifconfig br0
br0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet6 fe80::e8c3:adff:fe19:f804 prefixlen 64 scopeid 0x20<link>
inet6 2003:e5:3f18:d100:201:c0ff:fe1b:4b31 prefixlen 64 scopeid 0x0<global>
ether 00:01:c0:1b:4b:31 txqueuelen 1000 (Ethernet)
Моя таблица маршрутизации:
root@kali:~# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default fritz.box 0.0.0.0 UG 0 0 0 br0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
Сначала я думал, что мою цель будет довольно легко достичь. Тем не менее, оказалось, что nftables (пока) не поддерживает «broute» (см. Этот пост ). К счастью, в сообщении также упоминалось обходное решение.
Тем не менее, мне потребовалось некоторое время, чтобы все заработало. Поэтому я решил задокументировать то, что делаю. Не стесняйтесь комментировать или предлагать еще лучшее решение.
Спасибо!
Тоби
Вот то, что работало на меня:
root@kali:~# nft add table bridge t1
root@kali:~# nft add chain bridge t1 c1 { type filter hook prerouting priority 0\; }
root@kali:~# nft add rule bridge t1 c1 tcp dport 80 meta pkttype set host ether daddr set 00:01:c0:1b:4b:31 counter
root@kali:~# nft add rule bridge t1 c1 tcp dport 443 meta pkttype set host ether daddr set 00:01:c0:1b:4b:31 counter
root@kali:~# nft add table inet t2
root@kali:~# nft add chain inet t2 c2 { type nat hook prerouting priority 0\; }
root@kali:~# nft add rule inet t2 c2 tcp dport 80 counter redirect to 8080
root@kali:~# nft add rule inet t2 c2 tcp dport 443 counter redirect to 8080
правила в цепочке "c1" ответственны за изменение адреса назначения Ethernet HTTP (S) трафик к MAC-адресу локального устройства, в то время как правила в цепочке "c2" перенаправляют tcp целевые порты 80/443 к 8 080, где mitmproxy слушает.
Наконец, это - то, как я запустил mitmproxy:
root@kali:~# mitmproxy —-mode transparent —-showhost —-set block_global=false
Это не прекрасно, но по крайней мере, это, кажется, работает на меня.