Wird tcpdump Pakete sehen, die von iptables verworfen werden?

17

Ich habe eine Firewall mit diesen einfachen Regeln:

iptables -A INPUT -p tcp -s 127.0.0.1/32 --dport 6000 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.16.20/32 --dport 6000 -j ACCEPT
iptables -A INPUT -p tcp --dport 6000 -j REJECT

Angenommen, ich verwende TCPDUMP wie folgt :

tcpdump port 6000

Und ich habe Host 192.168.16.21versucht, eine Verbindung zum Port herzustellen 6000.

Werden / sollten tcpdumpeinige Pakete ausgegeben, von denen 192.168.16.21?

Pablo Santa Cruz
quelle

Antworten:

20

tcpdumpverwendet libpcapund libpcapverarbeitet Pakete, bevor sie von der Firewall verarbeitet werden. Die Antwort lautet also "Ja".

Alex
quelle
6
Dies ist nur teilweise wahr. tcpdumpDer eingehende Datenverkehr wird zuvor angezeigt iptables, der ausgehende Datenverkehr jedoch erst, nachdem die Firewall ihn verarbeitet hat. Siehe superuser.com/q/925286/18898
chb