A grand coup de tshark, tu dois pouvoir filtrer ca correctement : http://www.wireshark.org/docs/dfref/h/http.html
Par contre il te faudra sans doute modifier le nom du header pour le standard de facto X-Forwarded-For, car je ne vois pas comment le spécifier autrement. C'est quoi le bug bien velu sinon ? Hervé. On Wed, 27 Apr 2011 11:37:53 +0200 Valentin Surrel <valen...@surrel.org> wrote: > Bonjour la liste, > > Afin de pister un bug bien velu, on cherche à inspecter le flux réseau > entre un client et nous. Problème, on a un frontal qui fait du SSL et > rajoute un X-Real-IP header avant de reverse-proxy sur les serveurs > d'application. > > Un moyen de trouver les requêtes que fait le client est de faire ça : > > ngrep -d lo -q 'X-Real-IP: 1.2.3.4' -W byline port 7541 > > 1.2.3.4 étant l'IP du client. Le problème est que je ne peux pas > tracer la réponse HTTP renvoyé par le serveur. Il ne semble pas y > avoir d'option pour ceci dans ngrep. > > Auriez-vous des pistes à me suggérer (on peut très difficilement tout > enregistrer avec tcpdump, l'exploitation du fichier obtenu est quasi > impossible du fait de sa taille) ? > > Est-il possible de faire le tcpdump en amont du frontal sur l'IP > 1.2.3.4 et ensuite de décoder le HTTPS ? (avec wireshark ?) > > Merci de votre aide ! > > Valentin > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/ -- Hervé COMMOWICK, EXOSEC (http://www.exosec.fr/) ZAC des Metz - 3 Rue du petit robinson - 78350 JOUY EN JOSAS Tel: +33 1 30 67 60 65 - Fax: +33 1 75 43 40 70 mailto:hcommow...@exosec.fr _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/