tcpdump é uma ferramenta útil para descarregar pacotes da rede para arquivar ou para a tela, geralmente disponível nos repositórios de distribuição de distribuição e está muito bem documentado e testado para situações como esta.
Você pode instalar o tcpdump no roteador ubuntu ( apt-get install tcpdump
) e configurá-lo para observar o tráfego smtp;
# tcpdump -s0 -w/tmp/smtp_dump port 25
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
você pode revisar o arquivo para o qual os hosts estão enviando tráfego smtp de outra sessão SSH;
# tcpdump -qr /tmp/smtp_dump
reading from file /tmp/smtp_dump, link-type EN10MB (Ethernet)
13:27:54.291884 IP g0801.hpl.com.33942 > pz-in-f27.1e100.net.smtp: tcp 0
13:27:54.315294 IP pz-in-f27.1e100.net.smtp > g0801.hpl.com.33942: tcp 0
13:27:54.315323 IP g0801.hpl.com.33942 > pz-in-f27.1e100.net.smtp: tcp 0
13:27:54.339110 IP pz-in-f27.1e100.net.smtp > g0801.hpl.com.33942: tcp 45
...
você pode obter resultados mais sofisticados se instalar wireshark em sua máquina local e baixar os arquivos de despejo, ou usar tshark no ssh linha de comando.
aviso: o tcpdump preencherá seu disco rapidamente se você tiver muito tráfego smtp, portanto, revise o arquivo de saída ls -lh /tmp/smtp_dump
e pare o comando com ctrl-c quando tiver alguns MB de dados para examinar.
Opções de interface para tcpdump ( -i eth0
): se o seu roteador usa uma interface diferente de eth0, talvez seja necessário selecioná-lo com a opção -i
. tcpdump -i bond0 -s0 -w/tmp/smtp_dump port 25