tcpdump vor oder nach iptables bzw. nftabels
tcpdump vor oder nach iptables bzw. nftabels
Hallo,
greift tcpdump den Traffic vor oder nach iptables bzw. nftabels ab?
Grüße
greift tcpdump den Traffic vor oder nach iptables bzw. nftabels ab?
Grüße
Re: tcpdump vor oder nach iptables bzw. nftabels
Vor iptables.teret4242 hat geschrieben:24.11.2017 18:14:36greift tcpdump den Traffic vor oder nach iptables bzw. nftabels ab?
Re: tcpdump vor oder nach iptables bzw. nftabels
Ok, das heißt blockierter Traffic mit iptables sollte trotzdem via tcpdump erscheinen?
Kann man das irgendwo nachlesen? Habe hierzu im Netz leider nicht wirklich was gefunden.
Re: tcpdump vor oder nach iptables bzw. nftabels
Naja, Du siehst den Eingangstraffic bis zur iptables-Regel, mehr nicht.teret4242 hat geschrieben:24.11.2017 18:36:52Ok, das heißt blockierter Traffic mit iptables sollte trotzdem via tcpdump erscheinen?
Re: tcpdump vor oder nach iptables bzw. nftabels
Was sollte man außer dem Eingangstraffic sonst sehen?mat6937 hat geschrieben:24.11.2017 18:42:58Naja, Du siehst den Eingangstraffic bis zur iptables-Regel, mehr nicht.
Re: tcpdump vor oder nach iptables bzw. nftabels
Du hast doch geschrieben:teret4242 hat geschrieben:24.11.2017 18:50:22Was sollte man außer dem Eingangstraffic sonst sehen?
Code: Alles auswählen
Ok, das heißt blockierter Traffic mit iptables sollte trotzdem via tcpdump erscheinen?
Re: tcpdump vor oder nach iptables bzw. nftabels
Das war wohl etwas missverständlich formuliert. Angenommen iptables wäre vor tcpdump angesiedelt, dann würde man den Traffic der von iptables blockiert wird via tcpdump nicht sehen. Da laut dir aber iptables nach tcpdump implementiert sind, sollte man den Eingangstraffic auf jeden Fall via tcpdump sehen, auch wenn dieser anschließend von iptabels weggeworfen wird.mat6937 hat geschrieben:24.11.2017 18:54:28... wenn der Traffic blockiert ist (d. h. nicht zustande kommen kann), wie soll es dann erscheinen bzw. mit tcpdump gesnifft werden können?
Richtig?
Re: tcpdump vor oder nach iptables bzw. nftabels
Ja richtig.teret4242 hat geschrieben:24.11.2017 19:12:45Da laut dir aber iptables nach tcpdump implementiert sind, sollte man den Eingangstraffic auf jeden Fall via tcpdump sehen, auch wenn dieser anschließend von iptabels weggeworfen wird.
Richtig?
Re: tcpdump vor oder nach iptables bzw. nftabels
Der 'Packet Flow' ist unter Linux relativ kompliziert.
Bekannt dürfte das nette Bildchen sein:
https://upload.wikimedia.org/wikipedia/ ... t-flow.svg
Hatte mal Bildchen, wo man den 'Einsprungspunkt' von tcpdump (resp. libpcap) sah (finde ich im Moment nicht).
Im oben verlinkten Bild sollte das nach "ingress (qdisc)" und vor "bridge check" der Fall sein, wenn's ich noch richtig in Erinnerung hab'
Erst danach geht es hoch in der kernel-Netzwerkstack.
Man sieht das (manchmal) daran, dass im tcpdump Pakete mit MTU 65000 auftauchen, die dann erst von der NIC selbst in 1500-Abschnitte gehäckselt werden.
Verwirft bereits die NIC selbst Pakete, werden jene natürlich auch nicht mehr vom tcpdump gesehen.
Bekannt dürfte das nette Bildchen sein:
https://upload.wikimedia.org/wikipedia/ ... t-flow.svg
Hatte mal Bildchen, wo man den 'Einsprungspunkt' von tcpdump (resp. libpcap) sah (finde ich im Moment nicht).
Im oben verlinkten Bild sollte das nach "ingress (qdisc)" und vor "bridge check" der Fall sein, wenn's ich noch richtig in Erinnerung hab'
Erst danach geht es hoch in der kernel-Netzwerkstack.
Man sieht das (manchmal) daran, dass im tcpdump Pakete mit MTU 65000 auftauchen, die dann erst von der NIC selbst in 1500-Abschnitte gehäckselt werden.
Verwirft bereits die NIC selbst Pakete, werden jene natürlich auch nicht mehr vom tcpdump gesehen.