Eu tenho um problema de rede onde quadros com um MAC de origem que combina com um dos MACs de origem do host estão chegando ao host - um aparente MAC duplicado, ou loop, ou outro problema de L2.
Eu acredito que esta é a situação porque as tabelas MAC (tabelas CAM) da minha ponte linux registram um MAC local (para uma máquina virtual hospedada) como estando na porta upstream, e os logs do kernel mostram erros:
bridgename: received packet on bond0.2222 with own address as source address
Gostaria de obter mais detalhes sobre esses pacotes / quadros "desonestos", mas não consigo descobrir como me concentrar neles. Com o tcpdump você pode filtrar uma determinada fonte MAC ('ether src MAC'), mas isso é baseado nos bytes no quadro - não se o quadro foi "enviado" versus "recebido em". Normalmente, supomos um quadro com nosso MAC de origem significa que estamos enviando-o, mas se um quadro duplicado for recebido, o conteúdo será exatamente o mesmo para o filtro.
Como se pode observar se um quadro foi recebido ou transmitido em uma captura de pacotes?
Use a opção --direction para tcpdump:
-Q direction
--direction=direction
Choose send/receive direction direction for which packets should be
captured. Possible values are 'in', 'out' and 'inout'. Not available on
all platforms.
Com o iptables, você tem diferentes 'cadeias' para pacotes de entrada e saída. Na página man do iptables (8):
... the chains INPUT and OUTPUT are only traversed for packets coming into
the local host and originating from the local host respectively. Hence
every packet only passes through one of the three chains (except
loopback traffic, which involves both INPUT and OUTPUT chains) ...
iptables podem fazer algum registro (-l), o que pode mostrar o que você precisa. Ele pode presumivelmente também encaminhar cópias de pacotes para uma interface para o registro em log com outras ferramentas, mas não tive motivos para fazer isso.