tcpdump จะเห็นแพ็คเก็ตที่ถูกทิ้งโดย iptables หรือไม่


17

ฉันมีไฟร์วอลล์พร้อมกฎง่าย ๆ เหล่านี้:

iptables -A INPUT -p tcp -s 127.0.0.1/32 --dport 6000 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.16.20/32 --dport 6000 -j ACCEPT
iptables -A INPUT -p tcp --dport 6000 -j REJECT

ตอนนี้สมมติว่าฉันใช้TCPDUMPเช่นนี้

tcpdump port 6000

และฉันมีโฮสต์พยายามที่จะเชื่อมต่อกับพอร์ต192.168.16.216000

จะ / ควรtcpdumpส่งออกแพ็กเก็ตบางส่วนที่มาจาก192.168.16.21ไหน

คำตอบ:


20

tcpdumpใช้libpcapและlibpcapประมวลผลแพ็กเก็ตก่อนที่ไฟร์วอลล์จะประมวลผลดังนั้นคำตอบคือ "ใช่"


7
นี่เป็นเพียงบางส่วนเท่านั้น tcpdumpจะเห็นทราฟฟิกขาเข้าก่อนiptablesแต่จะเห็นทราฟฟิกขาออกเฉพาะหลังจากที่ไฟร์วอลล์ได้ประมวลผลแล้ว ดูsuperuser.com/q/925286/18898
chb
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.