tcpdump vor oder nach iptables bzw. nftabels

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
teret4242
Beiträge: 114
Registriert: 03.04.2013 16:25:51

tcpdump vor oder nach iptables bzw. nftabels

Beitrag von teret4242 » 24.11.2017 18:14:36

Hallo,

greift tcpdump den Traffic vor oder nach iptables bzw. nftabels ab?

Grüße

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: tcpdump vor oder nach iptables bzw. nftabels

Beitrag von mat6937 » 24.11.2017 18:22:51

teret4242 hat geschrieben: ↑ zum Beitrag ↑
24.11.2017 18:14:36
greift tcpdump den Traffic vor oder nach iptables bzw. nftabels ab?
Vor iptables.

teret4242
Beiträge: 114
Registriert: 03.04.2013 16:25:51

Re: tcpdump vor oder nach iptables bzw. nftabels

Beitrag von teret4242 » 24.11.2017 18:36:52

mat6937 hat geschrieben: ↑ zum Beitrag ↑
24.11.2017 18:22:51
Vor iptables.
Ok, das heißt blockierter Traffic mit iptables sollte trotzdem via tcpdump erscheinen?

Kann man das irgendwo nachlesen? Habe hierzu im Netz leider nicht wirklich was gefunden.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: tcpdump vor oder nach iptables bzw. nftabels

Beitrag von mat6937 » 24.11.2017 18:42:58

teret4242 hat geschrieben: ↑ zum Beitrag ↑
24.11.2017 18:36:52
Ok, das heißt blockierter Traffic mit iptables sollte trotzdem via tcpdump erscheinen?
Naja, Du siehst den Eingangstraffic bis zur iptables-Regel, mehr nicht.

teret4242
Beiträge: 114
Registriert: 03.04.2013 16:25:51

Re: tcpdump vor oder nach iptables bzw. nftabels

Beitrag von teret4242 » 24.11.2017 18:50:22

mat6937 hat geschrieben: ↑ zum Beitrag ↑
24.11.2017 18:42:58
Naja, Du siehst den Eingangstraffic bis zur iptables-Regel, mehr nicht.
Was sollte man außer dem Eingangstraffic sonst sehen? ;)

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: tcpdump vor oder nach iptables bzw. nftabels

Beitrag von mat6937 » 24.11.2017 18:54:28

teret4242 hat geschrieben: ↑ zum Beitrag ↑
24.11.2017 18:50:22
Was sollte man außer dem Eingangstraffic sonst sehen? ;)
Du hast doch geschrieben:

Code: Alles auswählen

Ok, das heißt blockierter Traffic mit iptables sollte trotzdem via tcpdump erscheinen?
... wenn der Traffic blockiert ist (d. h. nicht zustande kommen kann), wie soll es dann erscheinen bzw. mit tcpdump gesnifft werden können?

teret4242
Beiträge: 114
Registriert: 03.04.2013 16:25:51

Re: tcpdump vor oder nach iptables bzw. nftabels

Beitrag von teret4242 » 24.11.2017 19:12:45

mat6937 hat geschrieben: ↑ zum Beitrag ↑
24.11.2017 18:54:28
... wenn der Traffic blockiert ist (d. h. nicht zustande kommen kann), wie soll es dann erscheinen bzw. mit tcpdump gesnifft werden können?
Das war wohl etwas missverständlich formuliert. Angenommen iptables wäre vor tcpdump angesiedelt, dann würde man den Traffic der von iptables blockiert wird via tcpdump nicht sehen. Da laut dir aber iptables nach tcpdump implementiert sind, sollte man den Eingangstraffic auf jeden Fall via tcpdump sehen, auch wenn dieser anschließend von iptabels weggeworfen wird.

Richtig?

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: tcpdump vor oder nach iptables bzw. nftabels

Beitrag von mat6937 » 24.11.2017 19:20:56

teret4242 hat geschrieben: ↑ zum Beitrag ↑
24.11.2017 19:12:45
Da laut dir aber iptables nach tcpdump implementiert sind, sollte man den Eingangstraffic auf jeden Fall via tcpdump sehen, auch wenn dieser anschließend von iptabels weggeworfen wird.

Richtig?
Ja richtig.

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: tcpdump vor oder nach iptables bzw. nftabels

Beitrag von dufty2 » 25.11.2017 08:10:41

Der 'Packet Flow' ist unter Linux relativ kompliziert.
Bekannt dürfte das nette Bildchen sein:
https://upload.wikimedia.org/wikipedia/ ... t-flow.svg
Hatte mal Bildchen, wo man den 'Einsprungspunkt' von tcpdump (resp. libpcap) sah (finde ich im Moment nicht).
Im oben verlinkten Bild sollte das nach "ingress (qdisc)" und vor "bridge check" der Fall sein, wenn's ich noch richtig in Erinnerung hab' ;)
Erst danach geht es hoch in der kernel-Netzwerkstack.

Man sieht das (manchmal) daran, dass im tcpdump Pakete mit MTU 65000 auftauchen, die dann erst von der NIC selbst in 1500-Abschnitte gehäckselt werden.

Verwirft bereits die NIC selbst Pakete, werden jene natürlich auch nicht mehr vom tcpdump gesehen.

Antworten