tcpdump iptables
Aldrin Martoq
amartoq en dcc.uchile.cl
Dom Ago 16 23:05:02 CLT 2009
2009/8/14 Juan Manuel Doren <jm.doren en ok.cl>:
> Estimados
> estoy haciendo un tcpdump y aparecen paquetes que deberían estar
> bloqueados por mis reglas de iptables.
[...]
> ¿el tcpdump ve el trafico directo de la tarjeta? o sea ¿antes de que
> el iptables lo mande a mejor vida?
Si, como te comentaron tcpdump ve "lo que se lee/escribe en la
tarjeta": antes de netfilter cuando un paquete llega y despues de
netfilter cuando un paquete se va. Ojo que no hay paquetes que
"atraviesen" una tarjeta como dijo Miguel, son solo estas 2
operaciones.
Para solucionar tu problema (saber si estoy bloqueando bien o no),
puedes aprovecharte de todo esto:
- con tcpdump miras si un paquete llega
- en iptables, utiliza un target LOG antes de reject.
Ejemplo si antes tenias:
iptables -A INPUT -p tcp -s 1.2.3.4 --dport 22 -j REJECT
iptables -A FORWARD -p tcp --dport 80 -j REJECT
Ahora puedes tener:
iptables -N rechazar
iptables -A rechazar -j LOG
iptables -A rechazar -j REJECT
iptables -A INPUT -p tcp -s 1.2.3.4 --dport 22 -j rechazar
iptables -A FORWARD -p tcp --dport 80 -j rechazar
Es decir, tiras todos los REJECT a tu nueva tabla, y en ella haces el
logging y reject; usas tcpdump para validar si llegó y/o (no) salió.
--
Aldrin Martoq
http://aldrin.martoq.cl/
Más información sobre la lista de distribución Linux