Недавно меня назначили ответственным за кластер HPC, и последний администратор не очень хорошо документировал все. Мы получили уведомление от нашей группы ИТ-безопасности о том, что наш головной узел довольно регулярно обращается к отрывочному сайту с бесплатными программами, и мы должны это проверить. Наш головной узел - это NAT для остальной части кластера, поэтому я предполагаю, что трафик на самом деле исходит не от головного узла, а от какой-то другой машины, которая общается через наш головной узел. Я уже некоторое время запускаю tcpdump -vvvv -A 'host [headnode ext IP]' на нашем головном узле, чтобы перехватывать пакеты, идущие на бесплатный сайт и с него, но это не говорит мне, какая машина на самом деле делает эти Запросы. Может ли кто-нибудь дать мне команду для запуска (или, вероятно, флаг tcpdump, который мне не хватает), который сообщит мне фактический хост, который отправляет запросы на этот сайт?
Я предполагаю, что у вас есть внешний интерфейс (возможно, eth0), который выполняет NAT для машин на вашем внутреннем интерфейсе (возможно, eth1 с подсетью RFC1918). Я бы попробовал накинуть шапку eth1 чтобы узнать, какой серверный IP-адрес обращается к 104.25.236.8. например: tcpdump -i eth1 -vvvv -A src 104.25.236.8 or dst 104.25.236.8