2009/8/14 Juan Manuel Doren <jm.do...@ok.cl>: > Estimados > estoy haciendo un tcpdump y aparecen paquetes que deberían estar > bloqueados por mis reglas de iptables. [...] > ¿el tcpdump ve el trafico directo de la tarjeta? o sea ¿antes de que > el iptables lo mande a mejor vida?
Si, como te comentaron tcpdump ve "lo que se lee/escribe en la tarjeta": antes de netfilter cuando un paquete llega y despues de netfilter cuando un paquete se va. Ojo que no hay paquetes que "atraviesen" una tarjeta como dijo Miguel, son solo estas 2 operaciones. Para solucionar tu problema (saber si estoy bloqueando bien o no), puedes aprovecharte de todo esto: - con tcpdump miras si un paquete llega - en iptables, utiliza un target LOG antes de reject. Ejemplo si antes tenias: iptables -A INPUT -p tcp -s 1.2.3.4 --dport 22 -j REJECT iptables -A FORWARD -p tcp --dport 80 -j REJECT Ahora puedes tener: iptables -N rechazar iptables -A rechazar -j LOG iptables -A rechazar -j REJECT iptables -A INPUT -p tcp -s 1.2.3.4 --dport 22 -j rechazar iptables -A FORWARD -p tcp --dport 80 -j rechazar Es decir, tiras todos los REJECT a tu nueva tabla, y en ella haces el logging y reject; usas tcpdump para validar si llegó y/o (no) salió. -- Aldrin Martoq http://aldrin.martoq.cl/