Tcpdump verra-t-il les paquets qui sont abandonnés par iptables?

17

J'ai un pare-feu avec ces règles simples:

iptables -A INPUT -p tcp -s 127.0.0.1/32 --dport 6000 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.16.20/32 --dport 6000 -j ACCEPT
iptables -A INPUT -p tcp --dport 6000 -j REJECT

Supposons maintenant que j'utilise TCPDUMP comme ceci:

tcpdump port 6000

Et j'ai un hôte qui 192.168.16.21essaie de se connecter au port 6000.

Est-ce que / devrait tcpdumpsortir certains paquets en provenance 192.168.16.21?

Pablo Santa Cruz
la source

Réponses:

20

tcpdumputilise libpcapet libpcaptraite les paquets avant qu'ils ne soient traités par le pare-feu, la réponse est donc "oui".

Alex
la source
7
Ce n'est que partiellement vrai. tcpdumpverra le trafic entrant avant iptables, mais ne verra le trafic sortant qu'après que le pare-feu l'aura traité. Voir superuser.com/q/925286/18898
chb