亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

Chinaunix

標題: 請問關于tcpdump和iptables的問題 [打印本頁]

作者: aa673 時間: 2016-06-16 15:00
標題: 請問關于tcpdump和iptables的問題
iptables增加了對80端口的DROP
但用tcpdump還是能監(jiān)聽到關于80端口的SYN連接，為什么iptables沒有DROP掉SYN類型的包？

Chain INPUT (policy ACCEPT)
target    prot opt source             destination
ACCEPT    all  --  0.0.0.0/0          0.0.0.0/0
ACCEPT    all  --  159.37.21.0/24    0.0.0.0/0
DROP    all  --  0.0.0.0/0          0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target    prot opt source             destination

Chain OUTPUT (policy ACCEPT)
target    prot opt source             destination
ACCEPT    all  --  0.0.0.0/0          159.37.21.0/24
DROP    all  --  0.0.0.0/0          0.0.0.0/0

tcpdump -i em2 host 218.24.24.55 -nn

14:21:10.187626 IP 218.24.24.55.27845 > 159.37.21.10.80: Flags [S], seq 159907489, win 8192, options [mss 1380,nop,wscale 2,nop,nop,sackOK], length 0

作者: aa673 時間: 2016-06-16 15:01
本帖最后由 aa673 于 2016-06-16 15:01 編輯

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

這個是對回環(huán)端口的ACCEPT，請大家不要誤解

作者: qianguozheng 時間: 2016-06-16 15:22
問問題，要把問題描述清楚。。。。。。

作者: aa673 時間: 2016-06-16 15:31
服務器執(zhí)行：
iptables -I INPUT -p tcp --dport 80 -j DROP

tcpdump -i em2 port 80 -nn

客戶端執(zhí)行
telnet xxx.xxx.xxx.xxx 80

tcpdump輸出TCP SYN包， iptables為什么沒有過濾掉？

QQ截圖20160616152911.jpg (54.34 KB, 下載次數(shù): 77)

作者: Riet 時間: 2016-06-17 16:32
本帖最后由 Riet 于 2016-06-17 16:33 編輯

那是tcp3次握手的包，你的iptables又沒限制
可以試試
-p tcp --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
或者
-p tcp --sync -j DROP
但是你這樣做了，還有包能進來么？

作者: action08 時間: 2016-06-18 18:44
講點抽象的理論，iptables drop確實執(zhí)行了，
但是tcpdump是基于網(wǎng)卡抓包的，網(wǎng)卡把數(shù)據(jù)傳給內核，當然數(shù)據(jù)顯示也是優(yōu)先iptables執(zhí)行的

歡迎光臨 Chinaunix (http://72891.cn/)

<nobr id="22url"><listing id="22url"></listing></nobr>