Re: tcpdump iptables
Aldrin Martoq escribió: 2009/8/14 Juan Manuel Doren jm.do...@ok.cl: Estimados estoy haciendo un tcpdump y aparecen paquetes que deberían estar bloqueados por mis reglas de iptables. [...] ¿el tcpdump ve el trafico directo de la tarjeta? o sea ¿antes de que el iptables lo mande a mejor vida? Si, como te comentaron tcpdump ve lo que se lee/escribe en la tarjeta: antes de netfilter cuando un paquete llega y despues de netfilter cuando un paquete se va. Ojo que no hay paquetes que atraviesen una tarjeta como dijo Miguel, son solo estas 2 operaciones. Tienes razon, tcpdump solo lee entrada y salida, en mi explicación me referí a la función iptables en kernel. saludos, = Miguel A. Oyarzo O. Ingeniería en Redes y Telecomunicaciones Austro Internet S.A.INALAMBRICA S.A. Teléfono: [+05661] 710030 Punta Arenas - Chile Linux User: # 483188 - counter.li.org =
Re: tcpdump iptables
2009/8/14 Juan Manuel Doren jm.do...@ok.cl: Estimados estoy haciendo un tcpdump y aparecen paquetes que deberían estar bloqueados por mis reglas de iptables. [...] ¿el tcpdump ve el trafico directo de la tarjeta? o sea ¿antes de que el iptables lo mande a mejor vida? Si, como te comentaron tcpdump ve lo que se lee/escribe en la tarjeta: antes de netfilter cuando un paquete llega y despues de netfilter cuando un paquete se va. Ojo que no hay paquetes que atraviesen una tarjeta como dijo Miguel, son solo estas 2 operaciones. Para solucionar tu problema (saber si estoy bloqueando bien o no), puedes aprovecharte de todo esto: - con tcpdump miras si un paquete llega - en iptables, utiliza un target LOG antes de reject. Ejemplo si antes tenias: iptables -A INPUT -p tcp -s 1.2.3.4 --dport 22 -j REJECT iptables -A FORWARD -p tcp --dport 80 -j REJECT Ahora puedes tener: iptables -N rechazar iptables -A rechazar -j LOG iptables -A rechazar -j REJECT iptables -A INPUT -p tcp -s 1.2.3.4 --dport 22 -j rechazar iptables -A FORWARD -p tcp --dport 80 -j rechazar Es decir, tiras todos los REJECT a tu nueva tabla, y en ella haces el logging y reject; usas tcpdump para validar si llegó y/o (no) salió. -- Aldrin Martoq http://aldrin.martoq.cl/
Re: tcpdump iptables
Juan Manuel Doren escribió: Estimados estoy haciendo un tcpdump y aparecen paquetes que deberían estar bloqueados por mis reglas de iptables. Como a esta hora estoy medio mareado pregunto ¿el tcpdump ve el trafico directo de la tarjeta? o sea ¿antes de que el iptables lo mande a mejor vida? gracias tcpdump captura todos los paquetes que entran, atraviezan o salen por la interfaz de red que escucha (-i ethx) Si tienes una regla iptables blqueando INPUT de todas formas veras los paquetes que llegan a la inferfaz pues el bloqueo se produce en una capa superior. Si lo paquetes son alterados por PREROUTING, igual los verás entrando a la interfaz. Los paquetes originados en la misma maquina y bloqueados en OUTPUT no serán vistos pues estos nunca saldran de la interfaz. Los paquetes originados en fuera de la maquina y bloqueados en FORWARD seran vistos en la interfaz de entrada pero no los veras en la Interfaz de salida. Saludos, = Miguel A. Oyarzo O. Ingeniería en Redes y Telecomunicaciones Austro Internet S.A.INALAMBRICA S.A. Teléfono: [+05661] 710030 Punta Arenas - Chile Linux User: # 483188 - counter.li.org =
Re: tcpdump iptables
Muchas gracias a todos los que respondieron ¿el tcpdump ve el trafico directo de la tarjeta? o sea ¿antes de que el iptables lo mande a mejor vida?
Re: tcpdump iptables
segun el sgte link : http://mydebian.blogdns.org/?p=85 , deberia ver el trafico directo salu2.- 2009/8/14 Juan Manuel Doren jm.do...@ok.cl Estimados estoy haciendo un tcpdump y aparecen paquetes que deberían estar bloqueados por mis reglas de iptables. Como a esta hora estoy medio mareado pregunto ¿el tcpdump ve el trafico directo de la tarjeta? o sea ¿antes de que el iptables lo mande a mejor vida? gracias -- Juan Manuel Doren Santiago, Chile -- Eduardo Silva http://edsiper.linuxchile.cl