Czy tcpdump zobaczy pakiety, które są upuszczane przez iptables?

17

Mam zaporę ogniową z tymi prostymi zasadami:

iptables -A INPUT -p tcp -s 127.0.0.1/32 --dport 6000 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.16.20/32 --dport 6000 -j ACCEPT
iptables -A INPUT -p tcp --dport 6000 -j REJECT

Załóżmy teraz, że używam TCPDUMP w następujący sposób:

tcpdump port 6000

I mam hosta 192.168.16.21próbującego połączyć się z portem 6000.

Czy / powinien tcpdumpwypisywać niektóre pakiety pochodzące 192.168.16.21?

firewall iptables tcp tcpdump Pablo Santa Cruz
źródło

Odpowiedzi:

20

tcpdumpużywa libpcapi libpcapprzetwarza pakiety, zanim zostaną one przetworzone przez zaporę, więc odpowiedź brzmi „tak”.

Alex
źródło
7
To tylko częściowo prawda. tcpdumpbędzie widział ruch przychodzący wcześniej iptables, ale zobaczy ruch wychodzący dopiero po przetworzeniu go przez zaporę. Zobacz superuser.com/q/925286/18898
chb